Imagen
Nivel de alerta
Crítico
Se ha identificado un conjunto de vulnerabilidades críticas denominado “CrackArmor” que afecta a AppArmor, el sistema de control de acceso obligatorio ampliamente utilizado en Linux.
Estas fallas permiten a usuarios sin privilegios:
- Escalar privilegios a root
- Evadir políticas de seguridad
- Romper aislamiento de contenedores
- Provocar fallos del kernel
Impacto
- Más de 12,6 millones de sistemas Linux potencialmente afectados
- Presente por defecto en distribuciones como:
- Ubuntu
- Debian
- SUSE
Afecta entornos críticos:
- Servidores empresariales
- Kubernetes
- Cloud
- IoT
Las vulnerabilidades residen en la implementación de AppArmor dentro del kernel, no en su diseño.
Vector principal:
- Manipulación de pseudo-archivos en: /sys/kernel/security/apparmor/
- Uso de herramientas privilegiadas como proxies (ej. sudo, postfix)
- Fallos como:
- Confused deputy
- Use-after-free
- Bypass de KASLR
Capacidades del atacante:
- Cargar/eliminar políticas de seguridad
- Obtener shell root
- Modificar memoria del kernel
- Escapar de namespaces
Requisitos de explotación
- Acceso local previo al sistema (usuario o proceso comprometido)
- No requiere privilegios iniciales elevados
Medidas recomendadas
Inmediatas:
- Aplicar parches del kernel cuando estén disponibles
- Monitorizar accesos a: /sys/kernel/security/apparmor/
- Revisar uso de herramientas con privilegios (sudo, postfix)
Mitigación temporal:
- Restringir creación de user namespaces si no son necesarios
- Auditar perfiles de AppArmor activos
- Incrementar logging y detección de anomalías
Estado
- Sin CVE asignado en el momento de publicación
- Investigación liderada por Qualys TRU
- Existen pruebas de concepto (PoC) funcionales
Evaluación
Aunque requiere acceso local, el impacto es crítico en escenarios post-explotación, especialmente en entornos cloud y contenedores.
