Los investigadores de ciberseguridad han descubierto múltiples vulnerabilidades de seguridad dentro del módulo AppArmor del kernel de Linux. Estas vulnerabilidades pueden ser aprovechadas por usuarios sin privilegios para eludir las protecciones del kernel y escalar a la raíz, comprometiendo las garantías de aislamiento del contenedor.
La Unidad de Investigación de Amenazas (TRU) de Qualys ha denominado colectivamente estas nueve subvulnerabilidades confusas como CrackArmor. La empresa de ciberseguridad dijo que el problema existe desde 2017. A esta falla no se le ha asignado un identificador CVE.
AppArmor es un módulo de seguridad de Linux que protege el sistema operativo de amenazas externas o internas proporcionando control de acceso obligatorio (MAC) y evitando que se exploten fallas conocidas y desconocidas de las aplicaciones. Está incluido en el kernel principal de Linux desde la versión 2.6.36.
«Este aviso de ‘CrackArmor’ expone una falla de proxy confusa que permite a usuarios sin privilegios manipular perfiles de seguridad a través de pseudo archivos, eludir restricciones de espacio de nombres de usuario y ejecutar código arbitrario dentro del kernel», dijo Saeed Abbasi, gerente senior de Qualys TRU.
«Estas fallas facilitan la escalada de privilegios locales para rootear a través de interacciones complejas con herramientas como Sudo y Postfix, así como ataques de denegación de servicio a través del agotamiento de la pila y el bypass de la aleatorización del diseño del espacio de direcciones del kernel (KASLR) a través de lecturas fuera de límites».
Las vulnerabilidades de proxy confusas ocurren cuando un programa privilegiado es coaccionado por un usuario sin privilegios y abusa de sus privilegios para realizar acciones maliciosas no deseadas. Básicamente, este problema explota la confianza asociada con una herramienta más privilegiada para ejecutar comandos que conducen a una escalada de privilegios.
Qualys dice que las entidades sin permiso para tomar medidas pueden manipular los perfiles de AppArmor para deshabilitar protecciones de servicios críticos o aplicar una política de denegación de todo, lo que podría causar un ataque de denegación de servicio (DoS) en el proceso.
«Combinado con fallas a nivel de kernel inherentes al análisis de perfiles, un atacante puede eludir las restricciones del espacio de nombres del usuario y lograr una escalada de privilegios locales (LPE) hasta la raíz completa».
«La manipulación de políticas compromete todo el host, mientras que la omisión del espacio de nombres facilita explotaciones avanzadas del kernel, como la divulgación de memoria arbitraria. Las capacidades DoS y LPE pueden provocar interrupciones del servicio, manipulación de credenciales a través de raíz sin contraseña (por ejemplo, cambios en /etc/passwd) o divulgación de KASLR, lo que permite más cadenas de explotación remota».
Peor aún, CrackArmor permite a los usuarios sin privilegios crear espacios de nombres de usuario completamente funcionales, eludiendo efectivamente las restricciones de espacio de nombres de usuario de Ubuntu implementadas por AppArmor, además de romper importantes garantías de seguridad como el aislamiento de contenedores, la aplicación de privilegios mínimos y el refuerzo del servicio.
La compañía de ciberseguridad dijo que se abstendrá de publicar exploits de prueba de concepto (PoC) para fallas identificadas para dar tiempo a los usuarios para priorizar los parches y minimizar los riesgos.
Este problema afecta a todos los kernels de Linux a partir de la versión 4.11 en distribuciones que integran AppArmor. Con más de 12,6 millones de instancias empresariales de Linux ejecutándose con AppArmor habilitado de forma predeterminada en varias distribuciones importantes, como Ubuntu, Debian y SUSE, recomendamos aplicar inmediatamente parches del kernel para mitigar estas vulnerabilidades.
«El parche inmediato del kernel sigue siendo una prioridad no negociable para neutralizar estas vulnerabilidades críticas, ya que las mitigaciones provisionales no proporcionan el mismo nivel de garantía de seguridad que la restauración de rutas de código fijadas por el proveedor», dijo Abbasi.
Source link
