Los investigadores de ciberseguridad han revelado múltiples vulnerabilidades de seguridad dentro del módulo AppArmor del kernel de Linux que podrían ser explotadas por usuarios sin privilegios para eludir las protecciones del kernel, escalar a la raíz y socavar las garantías de aislamiento del contenedor.
Las nueve vulnerabilidades confusas de los diputados han recibido colectivamente el nombre en clave Armadura de grieta por la Unidad de Investigación de Amenazas Qualys (TRU). La empresa de ciberseguridad dijo que el problema existe desde 2017. No se han asignado identificadores CVE a las deficiencias.
AppArmor es un módulo de seguridad de Linux que proporciona control de acceso obligatorio (MAC) y protege el sistema operativo contra amenazas externas o internas al evitar que se exploten fallas conocidas y desconocidas de las aplicaciones. Se ha incluido en el kernel principal de Linux desde la versión 2.6.36.
«Este aviso de ‘CrackArmor’ expone una falla confusa que permite a usuarios sin privilegios manipular perfiles de seguridad a través de pseudoarchivos, eludir restricciones de espacio de nombres de usuario y ejecutar código arbitrario dentro del kernel», dijo Saeed Abbasi, gerente senior de Qualys TRU.
«Estas fallas facilitan la escalada de privilegios locales para rootear a través de interacciones complejas con herramientas como Sudo y Postfix, junto con ataques de denegación de servicio a través del agotamiento de la pila y omisiones de Kernel Address Space Layout Randomization (KASLR) a través de lecturas fuera de límites».
Las vulnerabilidades adjuntas confusas ocurren cuando un usuario no autorizado obliga a un programa privilegiado a hacer un uso indebido de sus privilegios para realizar acciones maliciosas no deseadas. Básicamente, el problema explota la confianza asociada con una herramienta con más privilegios para ejecutar un comando que conduce a una escalada de privilegios.
Qualys dijo que una entidad que no tiene permisos para realizar una acción puede manipular los perfiles de AppArmor para deshabilitar protecciones de servicios críticos o hacer cumplir políticas de denegación total, desencadenando ataques de denegación de servicio (DoS) en el proceso.
«Combinado con fallas a nivel de kernel inherentes al análisis de perfiles, los atacantes eluden las restricciones del espacio de nombres de usuario y logran una escalada de privilegios locales (LPE) hasta la raíz completa», agregó.
«La manipulación de políticas compromete todo el host, mientras que las omisiones del espacio de nombres facilitan exploits avanzados del kernel, como la divulgación de memoria arbitraria. Las capacidades DoS y LPE resultan en interrupciones del servicio, manipulación de credenciales a través de raíz sin contraseña (por ejemplo, modificación de /etc/passwd) o divulgación de KASLR, lo que permite más cadenas de explotación remota».
Para empeorar las cosas, CrackArmor permite a los usuarios sin privilegios crear espacios de nombres de usuario con todas sus funciones, evitando de manera efectiva las restricciones de espacio de nombres de usuario de Ubuntu implementadas a través de AppArmor, así como subvirtiendo garantías de seguridad críticas como el aislamiento de contenedores, la aplicación de privilegios mínimos y el refuerzo del servicio.
La compañía de ciberseguridad dijo que está reteniendo la publicación de exploits de prueba de concepto (PoC) para las fallas identificadas para darles a los usuarios algo de tiempo para priorizar los parches y minimizar la exposición.
El problema afecta a todos los kernels de Linux desde la versión 4.11 en cualquier distribución que integre AppArmor. Con más de 12,6 millones de instancias empresariales de Linux que funcionan con AppArmor habilitado de forma predeterminada en varias distribuciones importantes, como Ubuntu, Debian y SUSE, se recomienda aplicar parches inmediatos al kernel para mitigar estas vulnerabilidades.
«El parche inmediato del kernel sigue siendo la prioridad no negociable para neutralizar estas vulnerabilidades críticas, ya que la mitigación provisional no ofrece el mismo nivel de garantía de seguridad que restaurar la ruta del código arreglado por el proveedor», señaló Abbasi.