Foram descobertas três vulnerabilidades de bypass de segurança nas restrições de namespace de usuário não privilegiado do Ubuntu Linux, que poderiam permitir que um atacante local explorasse vulnerabilidades nos componentes do kernel.
As questões permitem que usuários locais não privilegiados criem namespaces de usuário com plenas capacidades administrativas, impactando as versões do Ubuntu 23.10, onde as restrições de namespace de usuário não privilegiado estão habilitadas, e 24.04, que as tem ativas por padrão.
Namespaces de usuário Linux permitem que os usuários ajam como root dentro de uma sandbox isolada (namespace) sem ter as mesmas permissões no host.
O Ubuntu adicionou restrições baseadas no AppArmor na versão 23.10 e as ativou por padrão no 24.04 para limitar o risco de mau uso do namespace.
Pesquisadores da empresa de segurança e conformidade na nuvem Qualys descobriram que essas restrições podem ser contornadas de três maneiras diferentes.
“A Qualys TRU descobriu três bypasses distintos dessas restrições de namespace, cada um permitindo que atacantes locais criem namespaces de usuário com plenas capacidades administrativas,” dizem os pesquisadores.
Os pesquisadores observam que esses bypasses são perigosos quando combinados com vulnerabilidades relacionadas ao kernel, e eles não são suficientes para obter controle completo do sistema.
A Qualys fornece detalhes técnicos para os três métodos de bypass, que são resumidos da seguinte forma:
Bypass via aa-exec: Usuários podem explorar a ferramenta aa-exec, que permite rodar programas sob perfis específicos do AppArmor.
Alguns desses perfis - como trinity, chrome, ou flatpak - são configurados para permitir a criação de namespaces de usuário com plenas capacidades.
Ao usar o comando unshare através do aa-exec sob um desses perfis permissivos, um usuário não privilegiado pode contornar as restrições de namespace e aumentar privilégios dentro de um namespace.
Bypass via busybox: O shell busybox, instalado por padrão tanto no Ubuntu Server quanto no Desktop, está associado com um perfil do AppArmor que também permite a criação de namespace de usuário sem restrições.
Um atacante pode lançar um shell via busybox e usá-lo para executar unshare, criando com sucesso um namespace de usuário com plenas capacidades administrativas.
Bypass via LD_PRELOAD: Esta técnica aproveita a variável de ambiente do linker dinâmico LD_PRELOAD para injetar uma biblioteca compartilhada personalizada em um processo confiável.
Ao injetar um shell em um programa como o Nautilus - que tem um perfil permissivo do AppArmor - um atacante pode lançar um namespace privilegiado a partir desse processo, contornando as restrições pretendidas.
A Qualys notificou a equipe de segurança do Ubuntu sobre suas descobertas em 15 de janeiro e concordou com um lançamento coordenado.
No entanto, o bypass do busybox foi descoberto independentemente pelo pesquisador de vulnerabilidades Roddux, que publicou os detalhes em 21 de março.
A Canonical, organização por trás do Ubuntu Linux, reconheceu as descobertas da Qualys e confirmou que está desenvolvendo melhorias nas proteções do AppArmor.
Um porta-voz nos disse que não estão tratando essas descobertas como vulnerabilidades per se, mas como limitações de um mecanismo de defesa em profundidade.
Portanto, as proteções serão lançadas de acordo com os cronogramas de lançamento padrão e não como correções de segurança urgentes.
Em um boletim publicado no fórum oficial de discussão (Ubuntu Discourse), a empresa compartilhou as seguintes etapas de endurecimento que os administradores devem considerar:
Ative kernel.apparmor_restrict_unprivileged_unconfined=1 para bloquear o abuso de aa-exec.
(não habilitado por padrão)
-Desative perfis amplos do AppArmor para busybox e Nautilus, que permitem a criação de namespace.
-Aplique, opcionalmente, um perfil AppArmor bwrap mais estrito para aplicações como Nautilus que dependem de namespaces de usuário.
-Use aa-status para identificar e desabilitar outros perfis arriscados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...