Imaxe
Nivel de alerta
Crítico
Identificouse un conxunto de vulnerabilidades críticas denominado “CrackArmor” que afecta a AppArmor, o sistema de control de acceso obrigatorio amplamente utilizado en Linux.
Estas fallas permiten a usuarios sen privilexios:
- Escalar privilexios a root
- Evadir políticas de seguridade
- Romper o illamento de contedores
- Provocar fallos no kernel
Impacto
- Máis de 12,6 millóns de sistemas Linux potencialmente afectados
- Presente por defecto en distribucións como:
- Ubuntu
- Debian
- SUSE
Afecta contornas críticas:
- Servidores empresariais
- Kubernetes
- Cloud
- IoT
As vulnerabilidades residen na implementación de AppArmor dentro do kernel, non no seu modelo de seguridade.
Vector principal:
- Manipulación de pseudo-arquivos en: /sys/kernel/security/apparmor/
- Uso de ferramentas con privilexios como proxies (por exemplo sudo e postfix)
Tipos de fallos:
- Confused deputy
- Use-after-free
- Bypass de KASLR
Capacidades do atacante:
- Cargar ou eliminar políticas de seguridade
- Obter shell root
- Modificar memoria do kernel
- Escapar de namespaces
Requisitos de explotación
- Acceso local previo ao sistema (usuario ou proceso comprometido)
- Non require privilexios elevados iniciais
Medidas recomendadas
Inmediatas:
- Aplicar parches do kernel cando estean dispoñibles
- Monitorizar accesos a: /sys/kernel/security/apparmor/
- Revisar o uso de ferramentas con privilexios (sudo, postfix)
Mitigación temporal:
- Restringir a creación de user namespaces se non son necesarios
- Auditar os perfís activos de AppArmor
- Incrementar o rexistro e a detección de anomalías
Estado
- Sen CVE asignado no momento da publicación
- Investigación realizada por Qualys TRU
- Existen probas de concepto funcionais
Avaliación
Aínda que require acceso local, o impacto é crítico en escenarios de post-explotación, especialmente en contornas cloud e de contedores.
