Иногда самая неприятная уязвимость — не новая, а та, что годами оставалась незамеченной в штатном механизме защиты. Именно такой оказалась история с CrackArmor: исследователи Qualys сообщили о наборе проблем в AppArmor, которые присутствуют с 2017 года и позволяют локальному пользователю ослаблять защиту Linux, повышать привилегии до root и нарушать изоляцию контейнеров.
Что известно сейчас
По данным SecurityLab, речь идёт об ошибке в коде, появившейся ещё в 2017 году и затрагивающей AppArmor — систему мандатного контроля доступа, которая по умолчанию используется во многих популярных Linux-дистрибутивах. В публикации подчёркивается, что проблема может позволить обычному пользователю получить полный контроль над сервером.
Qualys называет этот набор уязвимостей CrackArmor. Исследователи пишут, что они обнаружили confused deputy flaws в AppArmor, которые позволяют непривилегированному пользователю обходить защитные механизмы ядра, повышать привилегии до root и ломать контейнерную изоляцию. По их данным, проблема затрагивает системы с AppArmor начиная с ядра Linux v4.11.
Canonical отдельно уточняет, что уязвимости находятся именно в коде ядра Linux, связанном с AppArmor, а их последствия варьируются от отказа в обслуживании и утечки памяти ядра до снятия защитных ограничений и локального повышения привилегий до root. При этом компания подчёркивает: для эксплуатации нужен непривилегированный локальный доступ.
Почему это важно
Главный смысл этой новости не только в самом слове root. AppArmor воспринимается как один из встроенных слоёв защиты Linux, особенно в Ubuntu, Debian и SUSE. Когда уязвимость находится именно там, это меняет саму оценку риска: проблема уже не в отдельном приложении, а в механизме, который должен был ограничивать опасные действия по умолчанию.
На практике это важно для серверов, облачных систем и контейнерных сред. Qualys прямо пишет, что CrackArmor позволяет не только ослаблять защиту, но и нарушать контейнерную изоляцию. Поэтому вопрос здесь не сводится к одному рабочему Linux-компьютеру: новость касается и тех сценариев, где AppArmor используется как часть более широкой инфраструктурной безопасности.
Когда пользователи ищут, что известно о новой уязвимости Linux и почему ошибка 2017 года оказалась такой заметной только сейчас, ответ выглядит довольно жёстко: уязвимость долго жила внутри защитного слоя, а её практическая опасность стала особенно понятной после того, как исследователи показали возможность локального повышения привилегий и обхода ограничений.
Что пока не ясно
При этом данных всё ещё недостаточно, чтобы делать слишком широкие выводы о реальных атаках. Qualys опубликовала техническое описание и рекомендовала немедленное обновление ядра, но в доступных материалах нет подтверждения массовой эксплуатации этой схемы в дикой среде. Поэтому говорить, что CrackArmor уже стал обычным инструментом атакующих повсеместно, пока рано.
Есть и ещё одна важная деталь. Canonical пишет, что CVE-идентификаторы на момент публикации ещё не были присвоены, а сами проблемы отслеживаются как CrackArmor и связаны не только с ядром, но и с дополнительными условиями эксплуатации в отдельных сценариях. Это значит, что картина исправлений ещё формируется, а полное техническое описание и статус патчей могут уточняться дальше.
Тем, кто администрирует Linux-системы с AppArmor, стоит подождать подтверждения установки обновлений ядра и сопутствующих пакетов от своего дистрибутива. Тем, кто просто хотел понять суть новости, можно не ждать: главное уже ясно — ошибка, присутствовавшая в коде с 2017 года, подрывает один из базовых механизмов защиты Linux и требует обновления. Дальше важнее всего следить за патчами дистрибутивов и за тем, появятся ли дополнительные подтверждения эксплуатации вне исследовательской среды.
Если вам интересны такие разборы уязвимостей Linux, обновлений безопасности и реальных рисков для серверов и инфраструктуры, подписывайтесь на канал.
Как вам кажется, что опаснее для Linux-инфраструктуры: новые громкие уязвимости или такие старые ошибки в защитных механизмах, которые годами никто не замечал?