Um conjunto de vulnerabilidades recém-identificadas no módulo de segurança AppArmor do Linux pode permitir que invasores obtenham acesso root, contornem as proteções do sistema e desencadeiem interrupções de serviço em milhões de sistemas.
Os problemas, chamados coletivamente de ‘CrackArmor’, foram descoberto pela Unidade de Pesquisa de Ameaças Qualys (TRU). Os pesquisadores identificaram nove falhas que existiam no kernel do Linux desde a versão 4.11 em 2017.
Como o AppArmor está habilitado por padrão em distribuições Linux amplamente utilizadas, incluindo Ubuntu, Debian e SUSE, a exposição é extensa.
A Qualys estima que mais de 12,6 milhões de sistemas Linux empresariais rodam atualmente com o AppArmor ativo. Esses sistemas são comumente usados em infraestrutura empresarial, plataformas de nuvem, ambientes Kubernetes, dispositivos de Internet das coisas (IoT) e implantações de borda.
As vulnerabilidades resultam de uma falha de “deputado confuso” que permite que um usuário local sem privilégios manipule perfis de segurança do AppArmor. Ao explorar pseudoarquivos dentro do kernel, os invasores podem contornar as restrições de namespace do usuário e executar código arbitrário.
Potencial interrupção em toda a infraestrutura empresarial
Os invasores não precisam de credenciais administrativas para explorar as vulnerabilidades. De acordo com a Qualys, qualquer cenário que conceda a um invasor uma conta local padrão pode ser suficiente para transformar o sistema em uma arma.
Leia mais sobre vulnerabilidades de segurança do Linux: Novas vulnerabilidades do Linux expõem hashes de senha por meio de Core Dumps
Os pesquisadores disseram que as falhas também podem ser usadas para bloquear o acesso a serviços críticos ou travar totalmente um sistema.
Os impactos potenciais incluem:
-
Escalonamento de privilégios locais (LPE) para root
-
Falhas no kernel desencadeadas pelo esgotamento da pilha
-
Ataques de negação de serviço (DoS) por meio de perfis de segurança manipulados
-
Desvio de isolamento de contêiner
-
Possível exposição da memória do kernel através de leituras fora dos limites
Um invasor pode, por exemplo, carregar um perfil “negar tudo” em serviços como SSH, impedindo conexões remotas legítimas.
Remoções de perfis profundamente aninhados também podem esgotar a pilha do kernel, potencialmente desencadeando um kernel panic e uma reinicialização forçada.
Implantação de patch solicitada
Os pesquisadores da Qualys disseram que desenvolveram explorações de prova de conceito (POC) que demonstram as vulnerabilidades, mas não divulgaram publicamente o código de exploração para limitar o risco a sistemas não corrigidos.
“Essas descobertas destacam lacunas críticas na forma como confiamos nas suposições de segurança padrão”, disse Dilip Bachwani, CTO da Qualys.
“O CrackArmor prova que mesmo as proteções mais arraigadas podem ser contornadas sem credenciais de administrador.”
Nenhum identificador CVE foi atribuído ainda, pois as vulnerabilidades que afetam o kernel Linux upstream normalmente recebem CVEs somente depois que as correções são incorporadas em versões estáveis. Mesmo assim, a Qualys instou as organizações a tratar o aviso do Ubuntu tão urgente.
As equipes de segurança são aconselhadas a aplicar atualizações de kernel do fornecedor imediatamente, verificar seus ambientes em busca de sistemas vulneráveis e monitorar os diretórios de perfis do AppArmor em busca de modificações suspeitas.
Deseja saber mais sobre Segurança Clique Aqui!