Pesquisadores em cibersegurança revelaram múltiplas vulnerabilidades no módulo AppArmor do kernel Linux que podem ser exploradas por usuários sem privilégios para burlar as proteções do kernel, escalar privilégios até root e comprometer o isolamento de containers.
Batizadas coletivamente de CrackArmor pela Qualys Threat Research Unit (TRU), essas nove falhas do tipo confused deputy estão presentes desde 2017.
Até o momento, não receberam identificadores CVE.
AppArmor é um módulo de segurança do Linux que implementa controle de acesso obrigatório (MAC), protegendo o sistema contra ameaças internas e externas ao impedir a exploração de falhas conhecidas ou desconhecidas em aplicações.
Ele integra o kernel Linux desde a versão 2.6.36.
Segundo Saeed Abbasi, gerente sênior da Qualys TRU, "o alerta CrackArmor expõe uma falha confused deputy que permite a usuários sem privilégios manipular perfis de segurança por meio de pseudo-arquivos, ignorar restrições de user namespaces e executar código arbitrário no kernel."
As vulnerabilidades facilitam a escalada local de privilégios para root, especialmente devido à complexa interação com ferramentas como Sudo e Postfix.
Além disso, permitem ataques de negação de serviço (DoS) por exaustão da pilha e comprometem o Kernel Address Space Layout Randomization (KASLR) por meio de leituras fora dos limites da memória.
O problema confused deputy ocorre quando um programa privilegiado é induzido por um usuário não autorizado a abusar de seus privilégios para realizar ações maliciosas.
Ou seja, a confiança depositada em uma ferramenta mais privilegiada é explorada para executar comandos que resultam em escalonamento de privilégios.
De acordo com a Qualys, um agente sem permissão pode manipular perfis do AppArmor para desativar proteções críticas de serviços ou aplicar políticas de negação total, causando ataques DoS.
“Combinadas a falhas no kernel relacionadas à análise dos perfis, essas vulnerabilidades permitem que atacantes contornem as restrições de user namespaces e obtenham escalada local de privilégios (LPE) para root completo”, complementou a empresa.
Essa manipulação das políticas compromete todo o host, enquanto a violação dos namespaces possibilita exploits avançados no kernel, como vazamento arbitrário de memória.
As possibilidades de DoS e LPE resultam em interrupções de serviços, adulteração de credenciais por modificação de arquivos como /etc/passwd sem necessidade de senha, ou vazamento do KASLR, facilitando cadeias de exploração remota.
Além disso, o CrackArmor permite que usuários sem privilégios criem user namespaces totalmente funcionais, contornando as restrições implementadas pelo Ubuntu via AppArmor.
Isso enfraquece garantias críticas de segurança, como o isolamento de containers, a aplicação do princípio do menor privilégio e o hardening de serviços.
A Qualys optou por não divulgar provas de conceito (PoC) dos exploits para dar tempo aos usuários priorizarem as correções e minimizar os riscos.
A vulnerabilidade afeta todos os kernels Linux desde a versão 4.11 em distribuições que utilizam AppArmor.
Com mais de 12,6 milhões de instâncias empresariais Linux com AppArmor habilitado por padrão em grandes distribuições como Ubuntu, Debian e SUSE, a atualização imediata do kernel é recomendada para mitigar essas falhas.
“Aplicar o patch no kernel é prioridade absoluta e inegociável para neutralizar essas vulnerabilidades críticas, já que soluções temporárias não oferecem o mesmo nível de segurança que o código corrigido pelo fornecedor”, alertou Abbasi.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...