Cybersecurity-onderzoekers hebben meerdere beveiligingskwetsbaarheden binnen de AppArmor-module van de Linux-kernel onthuld die kunnen worden uitgebuit door niet-bevoorrechte gebruikers om kernelbeveiligingen te omzeilen, te escaleren naar root en de garanties voor containerisolatie te ondermijnen.
De negen verwarde plaatsvervangende kwetsbaarheden hebben gezamenlijk de codenaam gekregen CrackArmor door de Qualys Threat Research Unit (TRU). Het cyberbeveiligingsbedrijf zei dat het probleem al sinds 2017 bestaat. Er zijn geen CVE-identificatoren toegewezen aan de tekortkomingen.
AppArmor is een Linux-beveiligingsmodule die verplichte toegangscontrole (MAC) biedt en het besturingssysteem beveiligt tegen externe of interne bedreigingen door te voorkomen dat bekende en onbekende applicatiefouten worden misbruikt. Het is sinds versie 2.6.36 opgenomen in de belangrijkste Linux-kernel.
“Dit ‘CrackArmor’-advies legt een verwarde plaatsvervangende fout bloot waardoor onbevoegde gebruikers beveiligingsprofielen kunnen manipuleren via pseudo-bestanden, beperkingen op de gebruikersnaamruimte kunnen omzeilen en willekeurige code binnen de kernel kunnen uitvoeren”, zegt Saeed Abbasi, senior manager van Qualys TRU.
“Deze fouten faciliteren de escalatie van lokale bevoegdheden om complexe interacties met tools als Sudo en Postfix te doorbreken, naast denial-of-service-aanvallen via stack-uitputting en het omzeilen van Kernel Address Space Layout Randomization (KASLR) via out-of-bounds reads.”
Verwarde plaatsvervangende kwetsbaarheden doen zich voor wanneer een geprivilegieerd programma door een ongeautoriseerde gebruiker wordt gedwongen zijn privileges te misbruiken om onbedoelde, kwaadaardige acties uit te voeren. Het probleem maakt in wezen misbruik van het vertrouwen dat is gekoppeld aan een meer bevoorrechte tool om een opdracht uit te voeren die tot escalatie van bevoegdheden leidt.
Qualys zei dat een entiteit die geen toestemming heeft om een actie uit te voeren AppArmor-profielen kan manipuleren om kritieke servicebeveiligingen uit te schakelen of een deny-all-beleid af te dwingen, waardoor Denial-of-Service (DoS)-aanvallen kunnen worden geactiveerd.
“Gecombineerd met fouten op kernelniveau die inherent zijn aan het parseren van profielen, omzeilen aanvallers de beperkingen van de gebruikersnaamruimte en bereiken ze Local Privilege Escalation (LPE) naar volledige root”, voegde het eraan toe.
“Beleidsmanipulatie brengt de hele host in gevaar, terwijl naamruimte-bypasses geavanceerde kernel-exploits mogelijk maken, zoals willekeurige geheugenvrijgave. DoS- en LPE-mogelijkheden resulteren in service-uitval, geknoei met inloggegevens via wachtwoordloze root (bijv. /etc/passwd-wijziging) of KASLR-openbaarmaking, wat verdere exploitatieketens op afstand mogelijk maakt.”
Tot overmaat van ramp stelt CrackArmor onbevoegde gebruikers in staat volledig geschikte gebruikersnaamruimten te creëren, waardoor Ubuntu’s gebruikersnaamruimtebeperkingen die via AppArmor zijn geïmplementeerd effectief worden omzeild, en kritische veiligheidsgaranties worden ondermijnd, zoals containerisolatie, het afdwingen van de minste bevoegdheden en het versterken van de service.
Het cyberbeveiligingsbedrijf zei dat het de release van proof-of-concept (PoC) exploits voor de geïdentificeerde fouten achterhoudt om gebruikers wat tijd te geven om prioriteit te geven aan patches en de blootstelling te minimaliseren.
Het probleem treft alle Linux-kernels sinds versie 4.11 op elke distributie waarin AppArmor is geïntegreerd. Omdat er ruim 12,6 miljoen Linux-instances in bedrijven zijn waarbij AppArmor standaard is ingeschakeld in verschillende grote distributies, zoals Ubuntu, Debian en SUSE, wordt onmiddellijke kernelpatching geadviseerd om deze kwetsbaarheden te beperken.
“Onmiddellijke kernelpatching blijft de onbespreekbare prioriteit voor het neutraliseren van deze kritieke kwetsbaarheden, omdat tussentijdse mitigatie niet hetzelfde niveau van beveiligingsgarantie biedt als het herstellen van het door de leverancier vastgestelde codepad”, aldus Abbasi.
