Cercetătorii de la Qualys au divulgat public pe 12 martie nouă vulnerabilități în AppArmor, denumite colectiv “CrackArmor”, care permit utilizatorilor locali neprivilegiați să escaladeze privilegiile la root, să spargă izolarea containerelor și să blocheze sistemele Linux afectate. Peste 12,6 milioane de instanțe Linux enterprise care rulează Ubuntu, Debian și SUSE sunt expuse, conform Unității de Cercetare a Amenințărilor a companiei, care a identificat vulnerabilitățile în implementarea din kernelul Linux a framework-ului de control al accesului obligatoriu utilizat pe scară largă.
Debian și Canonical au acționat rapid pentru a lansa patch-uri, în timp ce experții în securitate au îndemnat administratorii să aplice actualizările de kernel și să repornească sistemele fără întârziere.
Cum funcționează vulnerabilitățile
Vulnerabilitățile provin din ceea ce Qualys a descris ca fiind o problemă de tip „confused deputy” (delegat confuz) în modul în care kernel-ul gestionează profilurile de securitate AppArmor. Un atacator cu acces local poate manipula pseudo-fișierele din /sys/kernel/security/apparmor/ — în special interfețele .load, .replace și .remove — pentru a încărca, înlocui sau elimina profilurile menite să protejeze serviciile critice.
Consecințele variază de la slăbirea apărărilor unui sistem prin eliminarea profilurilor pentru programe precum cupsd și rsyslogd, până la declanșarea epuizării stivei kernel-ului prin subprofiluri profund imbricate, provocând o cădere completă a sistemului. Qualys a descris și lanțuri de exploatare care implică interacțiuni cu sudo și Postfix și care ar putea oferi un shell cu drepturi de root. Vulnerabilitățile au existat încă din versiunea 4.11 a kernel-ului Linux, lansată în 2017.
În mediile containerizate, vulnerabilitățile pot fi exploatate fără o aplicație privilegiată cooperantă, permițând teoretic scenarii de evadare din container, conform comunicatului Canonical.
Corecții și măsuri de atenuare
Debian a emis avizele de securitate DSA-6162-1 și DSA-6163-1 pe 12 martie, oferind pachete kernel corectate atât pentru distribuția oldstable (bookworm), cât și pentru cea stable (trixie). Canonical a publicat actualizări de securitate pentru kernel pentru toate versiunile Ubuntu suportate, împreună cu măsuri de atenuare la nivel userspace pentru utilitarele sudo și su, recomandând administratorilor să aplice ambele. Identificatorii CVE nu fuseseră încă alocați oficial la momentul divulgării, deși Qualys a avertizat că absența CVE-urilor nu trebuie tratată ca un semn de risc mai scăzut.
„Aceste descoperiri evidențiază deficiențe critice în modul în care ne bazăm pe premisele implicite de securitate”, a declarat Dilip Bachwani, director de tehnologie la Qualys. „CrackArmor dovedește că și cele mai înrădăcinate protecții pot fi ocolite fără acreditări de administrator”.
Qualys a declarat că a dezvoltat exploatări demonstrative (proof-of-concept), dar nu le va publica. Compania a recomandat organizațiilor să prioritizeze corectarea activelor expuse la internet și să monitorizeze schimbările neașteptate ale directoarelor de profiluri AppArmor ca un potențial indicator de exploatare.
Surse:
https://datacenternews.asia/story/crackarmour-flaws-in-apparmour-risk-linux-root-access
https://securitybrief.com.au/story/crackarmour-flaws-in-apparmour-risk-linux-root-access
https://canonical.com/blog/apparmor-vulnerability-fixes-available