Selon Quarkslab (référence citée), des chercheurs ont détaillé deux vulnérabilités critiques dans les modules noyau GPU ouverts de NVIDIA sous Linux et présenté une chaîne d’exploitation complète menant à l’élévation de privilèges; NVIDIA a publié des correctifs dans la mise à jour d’octobre 2025 des GPU Display Drivers. ⚠️

— Vulnérabilités et impact —

  • CVE-2025-23300: déréférencement de pointeur nul dans le module nvidia-uvm, déclenché lors du mappage d’allocations NV01_MEMORY_DEVICELESS via l’ioctl UVM_MAP_EXTERNAL_ALLOCATION, dû à un champ pGpu non vérifié.
  • CVE-2025-23280: use-after-free dans les fonctions threadStateInit/threadStateFree (base de données Red-Black tree). Le kernel oops consécutif libère la pile avant l’exécution de threadStateFree(), entraînant l’UAF.
  • Impact: obtention de primitives de lecture/écriture noyau et élévation de privilèges par un attaquant local non privilégié.

— Chaîne d’exploitation (aperçu technique) —

  • Manipulation de la zone vmalloc en s’appuyant sur des buffers v4l2 et le fork de processus, puis reprise de l’adresse UAF.
  • Abus des opérations sur l’arbre rouge-noir pour réaliser une écriture arbitraire.
  • Corruption de la pile noyau afin de contrôler un pointeur struct file.
  • Fuite de KASLR via la comparaison de socket_file_ops.
  • Appels arbitraires de fonctions noyau via le gestionnaire llseek, conduisant à l’élévation de privilèges.

— Produits/Modules concernés et correctifs —

  • Produits concernés: NVIDIA Linux Open GPU Kernel Modules (dont le module nvidia-uvm).
  • Correctifs: NVIDIA a corrigé les deux failles dans la mise à jour d’octobre 2025 des GPU Display Drivers, suite à une divulgation coordonnée. ✅

— TTPs —

  • Exploitation locale des ioctl UVM (UVM_MAP_EXTERNAL_ALLOCATION).
  • Use-after-free orchestré par kernel oops et gestion du threadStateDatabase (Red-Black tree).
  • vmalloc spraying via v4l2 et fork; récupération d’objets UAF.
  • Écriture arbitraire, corruption de stack, leak KASLR (socket_file_ops), et fonction llseek pour appels noyau arbitraires.

Type d’article: publication de recherche détaillant des vulnérabilités et une chaîne d’exploitation complète, avec mention du patch publié après divulgation coordonnée.

🔗 Source originale : http://blog.quarkslab.com/nvidia_gpu_kernel_vmalloc_exploit.html

🖴 Archive : https://web.archive.org/web/20251014191727/https://blog.quarkslab.com/nvidia_gpu_kernel_vmalloc_exploit.html