Исследовательская группа Qualys Threat Research Unit (TRU) обнаружила девять уязвимостей в AppArmor, модуле безопасности Linux (LSM), и этот недостаток существует с 2017 года (версия v4.11). Поскольку по умолчанию обязательный механизм контроля доступа для Ubuntu, Debian, SUSE и многочисленных облачных платформ, его повсеместность в корпоративных средах, Kubernetes, IoT и периферийных средах значительно усиливает поверхность угроз.
Этот рекомендательный совет «CrackArmor» обнажает недоумение, позволяющее непривилегированным пользователям манипулировать профилями безопасности с помощью псевдо-файлов, обходить ограничения пространства для имен пользователей и выполнять произвольный код в ядре. Эти недостатки способствуют локальной эскалации привилегий, чтобы укорениться через сложные взаимодействия с такими инструментами, как Sudo и Postfix, наряду с атаками типа отказа в обслуживании через истощение стека и рандомизацию ядра Address Space Layout Randomization (KASLR) обход через запредельные чтения. Следовательно, эти выводы обнажают критические пробелы в нашей зависимости от допущений к безопасности по умолчанию. Это в корне подрывает конфиденциальность, целостность и доступность системы во всем мире, расширяя окно использования уязвимостей для устаревших развертываний.
Анализ Qualys CyberSecurity Asset Management количественно определяет область применения: более 12,6 миллионов корпоративных экземпляров Linux работают с поддержкой AppArmor по умолчанию.
Qualys Threat Research Unit (TRU) разработала Proof of Concepts (PoC), демонстрирующую полную цепочку эксплуатации уязвимостей CrackArmor. В рамках нашего скоординированного процесса раскрытия информации мы разработали рабочие эксплойты и демонстрации доказательств концепции, которыми мы поделились с группой безопасности, чтобы облегчить немедленные усилия по восстановлению.
В то время как мы отказываемся от публичного выпуска кода эксплойта, чтобы расставить приоритеты в развертывании патчей и минимизировать подверженность риску непатентованных сред, техническая природа этих недостатков позволяет независимо проверить сообщество безопасности. Следовательно, прозрачность в отношении механики уязвимости по-прежнему имеет решающее значение для обеспечения устойчивости глобальной инфраструктуры.
Немедленное исправление ядра остается необоротным приоритетом для нейтрализации этих критических уязвимостей, поскольку промежуточное смягчение не обеспечивает такого же уровня безопасности, как восстановление пути кода, установленного поставщиком. Руководство ИТ/операций безопасности должно ускорить создание аварийно-эксплуатационных окон для незамедлительного развертывания исправленных ядер, сохраняя при этом непрерывность бизнеса и обеспечивая устранение первопричины этого важнейшего вектора привилегий-эскалации.
>>> CrackArmor: Critical AppArmor Flaws Enable Local Privilege Escalation to Root
