Исследователи Qualys обнаружили девять уязвимостей в AppArmor, модуле безопасности Linux по умолчанию для Ubuntu, Debian и SUSE. Непривилегированный локальный злоумышленник может использовать эти недостатки для получения полного доступа root, выхода из контейнерной изоляции и вывода систем из строя без прав администратора. — csoonline.com
Исследователи безопасности из Qualys обнаружили девять уязвимостей в AppArmor — модуле безопасности Linux (Linux Security Module), который по умолчанию включен в дистрибутивах Ubuntu, Debian и SUSE.
По словам исследователей, не имеющий привилегий локальный злоумышленник может использовать эти недостатки для получения полного доступа уровня root, выхода из контейнерной изоляции и вывода систем из строя, причем для этого не требуются административные учетные данные, говорится в сообщении в блоге.
Уязвимости, получившие название «CrackArmor» от исследовательской группы Qualys Threat Research Unit (TRU), существуют с момента выпуска ядра Linux версии 4.11 в 2017 году. Согласно телеметрии управления активами самой Qualys, поверхность атаки охватывает более 12,6 миллиона корпоративных экземпляров Linux, использующих AppArmor по умолчанию. Это число возрастает, если учитывать кластеры Kubernetes, развертывания IoT и периферийные среды, отмечается в блоге.
«Поскольку это механизм принудительного контроля по умолчанию для Ubuntu, Debian, SUSE и многочисленных облачных платформ, его повсеместное распространение в корпоративных средах, Kubernetes, IoT и периферийных средах значительно усиливает поверхность угроз», — написали исследователи в сообщении в блоге.
Фундаментальный недостаток проектирования
В основе CrackArmor лежит то, что Qualys описывает как проблему «запутанного заместителя» (confused deputy) — класс уязвимостей, при котором привилегированный процесс обманом заставляют выполнять несанкционированные действия от имени непривилегированного пользователя. В бюллетене Qualys сравнила это с «злоумышленником, убеждающим управляющего зданием с мастер-ключами открыть закрытые хранилища, в которые злоумышленник не может попасть в одиночку».
На практике, по словам исследователей, достаточно стандартной локальной учетной записи пользователя для манипулирования профилями безопасности AppArmor — правилами, определяющими, что отдельным приложениям разрешено делать в системе Linux.
«Перенаправляя команды через доверенные системные инструменты, непривилегированный злоумышленник может загружать, заменять или полностью удалять эти профили. Злоумышленник может лишить защиты критически важные системные службы, заблокировать удаленный доступ всем пользователям, нацелившись на демон SSH, или обойти ограничения Ubuntu на пространства имен непривилегированных пользователей, даже после закрытия всех ранее известных обходных путей», — говорится в бюллетене.
От манипуляции профилем до оболочки root
В блоге подробно описана полная цепочка повышения привилегий, продемонстрированная на стандартной установке Ubuntu Server с почтовым сервером Postfix. Загрузив специально созданный профиль безопасности, который блокирует определенную возможность понижения привилегий в Sudo, исследователи смогли заставить Sudo перейти в состояние «fail-open»: не имея возможности сбросить свои привилегии root перед вызовом системного почтового агента, Sudo выполняет процесс от имени root, сохраняя при этом среду злоумышленника.
Результатом является произвольное выполнение команд от имени root, написали исследователи.
«Эти выводы обнажают критические пробелы в нашей зависимости от настроек безопасности по умолчанию», — говорится в сообщении в блоге. «Это фундаментально подрывает конфиденциальность, целостность и доступность систем во всем мире».
«CrackArmor доказывает, что даже самые укоренившиеся средства защиты могут быть обойдены без учетных данных администратора», — заявил технический директор Qualys Дилип Бахвани в блоге. «Для руководителей по информационной безопасности это означает, что одного лишь исправления недостаточно; мы должны пересмотреть все наши предположения о том, что означают конфигурации по умолчанию для нашей инфраструктуры».
Это не первый случай, когда исследователи Qualys обнаруживают серьезные уязвимости повышения привилегий в стандартных компонентах Linux. В 2022 году компания раскрыла две уязвимости в Snap, универсальной системе упаковки приложений Ubuntu, которые аналогичным образом позволяли пользователю с низкими привилегиями выполнять вредоносный код от имени root.
Уязвимости на уровне ядра усугубляют риск
Помимо вектора манипуляции профилями, Qualys сообщила, что выявила четыре уязвимости на уровне ядра в самом коде AppArmor. Согласно бюллетеню, одна из уязвимостей может быть использована для вывода из строя всей системы путем принудительной перезагрузки.
Другая позволяет злоумышленнику читать защищенную память ядра, раскрывая внутренние адреса, которые средства смягчения последствий безопасности призваны скрывать, и облегчая выполнение последующих эксплойтов. Две другие уязвимости были продемонстрированы как независимые пути к полному доступу root, даже в системах с включенными по умолчанию современными мерами по смягчению последствий эксплойтов, говорится в блоге.
AppArmor ранее упоминался как ключевой сдерживающий фактор против других уязвимостей Linux. Когда уязвимость повышения привилегий Dirty Pipe угрожала контейнерным средам в 2022 году, AppArmor был среди мер по укреплению безопасности, рекомендованных для ограничения воздействия.
Номера CVE отсутствуют, но исправления доступны
На момент публикации ни одной из девяти уязвимостей не были присвоены идентификаторы CVE. Процесс присвоения CVE ядру Linux намеренно задерживает выпуск идентификаторов до одной-двух недель после того, как исправление попадает в стабильный релиз, заявили исследователи в блоге. «Не позволяйте отсутствию номера CVE преуменьшить значимость», — написали исследователи в сообщении. «Если вы используете затронутые версии, отнеситесь к этому бюллетеню серьезно и обновитесь соответствующим образом».
Компания добавила, что исправления были опубликованы в основном дереве исходного кода ядра Линуса Торвальдса 12 марта после скоординированного процесса раскрытия информации, включавшего команду безопасности Ubuntu, разработчиков AppArmor из Canonical, Debian, SUSE и сопровождающего Sudo, который растянулся более чем на восемь месяцев. «Немедленное исправление ядра остается не подлежащим обсуждению приоритетом для нейтрализации этих критических уязвимостей», — написали исследователи в блоге.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain