Vulnerabilidades en AppArmor permiten escalada de privilegios en Linux
Publicado el
Introducción
Investigadores en ciberseguridad han revelado múltiples vulnerabilidades en el módulo AppArmor del kernel de Linux, que podrían ser aprovechadas por usuarios no privilegiados para eludir las protecciones del kernel, escalar a privilegios de root y comprometer la aislación de contenedores. Estas fallas, denominadas colectivamente CrackArmor por la unidad de investigación de amenazas de Qualys, han estado presentes desde 2017, aunque no se han asignado identificadores CVE.
¿Qué es AppArmor?
AppArmor es un módulo de seguridad de Linux que proporciona control de acceso obligatorio (MAC), protegiendo el sistema operativo de amenazas externas e internas al prevenir que se exploten las vulnerabilidades conocidas y desconocidas de las aplicaciones. AppArmor se ha incluido en el kernel de Linux desde la versión 2.6.36.
Detalles de las vulnerabilidades
Saeed Abbasi, gerente sénior de Qualys TRU, señaló que el aviso sobre CrackArmor revela una falla que permite a usuarios no privilegiados manipular perfiles de seguridad a través de pseudo-archivos, eludir restricciones de espacio de nombres de usuario y ejecutar código arbitrario en el kernel. Estas vulnerabilidades facilitan la escalada local de privilegios a root mediante interacciones complejas con herramientas como Sudo y Postfix, además de permitir ataques de denegación de servicio (DoS) a través de la explotación de pilas y la elusión de Kernel Address Space Layout Randomization (KASLR).
Las vulnerabilidades de tipo confused deputy ocurren cuando un programa privilegiado es forzado por un usuario no autorizado a abusar de sus privilegios para realizar acciones maliciosas no intencionadas. Esto se traduce en la capacidad de un entidad sin permisos para manipular perfiles de AppArmor, deshabilitando protecciones críticas de servicio o aplicando políticas de denegación total, lo que puede resultar en ataques DoS.
Impacto y recomendaciones
Qualys advierte que, combinadas con fallos inherentes en el análisis de perfiles, estas vulnerabilidades permiten a los atacantes eludir restricciones de espacio de nombres de usuario y conseguir escalada local de privilegios (LPE) a root completo. La manipulación de políticas puede comprometer el host entero, mientras que las elusiones de espacio de nombres facilitan la divulgación arbitraria de memoria. Las capacidades de DoS y LPE pueden provocar interrupciones en el servicio, manipulación de credenciales a través de root sin contraseña (por ejemplo, modificación de /etc/passwd) o divulgación de KASLR, lo que habilita cadenas de explotación remota adicionales.
Además, CrackArmor permite a usuarios no privilegiados crear espacios de usuario completamente capaces, eludiendo así las restricciones de espacio de nombres de usuario de Ubuntu impuestas a través de AppArmor y socavando garantías de seguridad críticas como la aislación de contenedores y la aplicación del principio de menor privilegio.
Parches y mitigación
Qualys ha decidido no publicar pruebas de concepto (PoC) para las vulnerabilidades identificadas, con el fin de dar tiempo a los usuarios para priorizar parches y minimizar la exposición. El problema afecta a todos los kernels de Linux desde la versión 4.11 en cualquier distribución que integre AppArmor. Con más de 12.6 millones de instancias de Linux empresarial en funcionamiento con AppArmor habilitado por defecto en varias distribuciones importantes, como Ubuntu, Debian y SUSE, se aconseja una actualización inmediata del kernel para mitigar estas vulnerabilidades.
Abbasi enfatiza que "la aplicación inmediata de parches al kernel sigue siendo la prioridad innegociable para neutralizar estas vulnerabilidades críticas, ya que las mitigaciones provisionales no ofrecen el mismo nivel de garantía de seguridad que restaurar el código corregido por el proveedor."