Los investigadores de ciberseguridad han revelado múltiples vulnerabilidades de seguridad en el interior del módulo AppArmor del kernel de Linux que podrían ser explotadas por usuarios sin privilegios para eludir las protecciones del kernel, medrar a la raíz y socavar las garantías de aislamiento del contenedor.
Las nueve vulnerabilidades confusas de los diputados han recibido colectivamente el nombre en esencia Armadura de abertura por la Mecanismo de Investigación de Amenazas Qualys (TRU). La empresa de ciberseguridad dijo que el problema existe desde 2017. No se han asignado identificadores CVE a las deficiencias.
AppArmor es un módulo de seguridad de Linux que proporciona control de camino obligatorio (MAC) y protege el sistema eficaz contra amenazas externas o internas al evitar que se exploten fallas conocidas y desconocidas de las aplicaciones. Se ha incluido en el kernel principal de Linux desde la lectura 2.6.36.
“Este aviso de ‘CrackArmor’ expone una error confusa que permite a usuarios sin privilegios manipular perfiles de seguridad a través de pseudoarchivos, eludir restricciones de espacio de nombres de agraciado y ejecutar código infundado en el interior del kernel”, dijo Saeed Abbasi, regente senior de Qualys TRU.
“Estas fallas facilitan la ascenso de privilegios locales para rootear a través de interacciones complejas con herramientas como Sudo y Postfix, inmediato con ataques de denegación de servicio a través del agotamiento de la pila y omisiones de Kernel Address Space Layout Randomization (KASLR) a través de lecturas fuera de límites”.
Las vulnerabilidades adjuntas confusas ocurren cuando un agraciado no calificado obliga a un software privilegiado a hacer un uso indebido de sus privilegios para realizar acciones maliciosas no deseadas. Básicamente, el problema explota la confianza asociada con una aparejo con más privilegios para ejecutar un comando que conduce a una ascenso de privilegios.
Qualys dijo que una entidad que no tiene permisos para realizar una influencia puede manipular los perfiles de AppArmor para deshabilitar protecciones de servicios críticos o hacer cumplir políticas de denegación total, desencadenando ataques de denegación de servicio (DoS) en el proceso.
“Combinado con fallas a nivel de kernel inherentes al investigación de perfiles, los atacantes eluden las restricciones del espacio de nombres de agraciado y logran una ascenso de privilegios locales (LPE) hasta la raíz completa”, agregó.
“La manipulación de políticas compromete todo el host, mientras que las omisiones del espacio de nombres facilitan exploits avanzados del kernel, como la divulgación de memoria arbitraria. Las capacidades DoS y LPE resultan en interrupciones del servicio, manipulación de credenciales a través de raíz sin contraseña (por ejemplo, modificación de /etc/passwd) o divulgación de KASLR, lo que permite más cadenas de explotación remota”.
Para empeorar las cosas, CrackArmor permite a los usuarios sin privilegios crear espacios de nombres de agraciado con todas sus funciones, evitando de guisa efectiva las restricciones de espacio de nombres de agraciado de Ubuntu implementadas a través de AppArmor, así como subvirtiendo garantías de seguridad críticas como el aislamiento de contenedores, la aplicación de privilegios mínimos y el refuerzo del servicio.
La compañía de ciberseguridad dijo que está reteniendo la publicación de exploits de prueba de concepto (PoC) para las fallas identificadas para darles a los usuarios poco de tiempo para priorizar los parches y minimizar la exposición.
El problema afecta a todos los kernels de Linux desde la lectura 4.11 en cualquier distribución que integre AppArmor. Con más de 12,6 millones de instancias empresariales de Linux que funcionan con AppArmor gestor de forma predeterminada en varias distribuciones importantes, como Ubuntu, Debian y SUSE, se recomienda aplicar parches inmediatos al kernel para mitigar estas vulnerabilidades.
“El parche inmediato del kernel sigue siendo la prioridad no negociable para contrarrestar estas vulnerabilidades críticas, ya que la mitigación provisional no ofrece el mismo nivel de aval de seguridad que restaurar la ruta del código arreglado por el proveedor”, señaló Abbasi.
