Linux内核AppArmor模块存在九个安全漏洞可导致权限提升

网络安全研究人员披露了Linux内核AppArmor模块中的多个安全漏洞，这些漏洞可能被非特权用户利用来绕过内核保护、提升至root权限，并破坏容器隔离保证。

这九个混淆代理漏洞被Qualys威胁研究小组（TRU）统称为CrackArmor。这家网络安全公司表示，该问题自2017年以来就存在。目前尚未为这些缺陷分配CVE标识符。

AppArmor是一个Linux安全模块，提供强制访问控制（MAC），通过防止已知和未知的应用程序缺陷被利用来保护操作系统免受外部或内部威胁。自Linux内核版本2.6.36以来，它已被包含在主线Linux内核中。

Qualys TRU高级经理Saeed Abbasi表示："这个'CrackArmor'安全公告揭示了一个混淆代理缺陷，允许非特权用户通过伪文件操纵安全配置文件，绕过用户命名空间限制，并在内核中执行任意代码。"

"这些缺陷通过与Sudo和Postfix等工具的复杂交互促进本地权限提升至root，同时通过栈耗尽进行拒绝服务攻击，并通过越界读取绕过内核地址空间布局随机化（KASLR）。"

混淆代理漏洞发生在特权程序被未经授权的用户强迫滥用其权限执行意外的恶意行为时。该问题本质上利用与更高权限工具相关的信任来执行导致权限提升的命令。

Qualys表示，没有执行操作权限的实体可以操纵AppArmor配置文件来禁用关键服务保护或强制执行拒绝所有策略，在此过程中触发拒绝服务（DoS）攻击。

该公司补充道："结合配置文件解析中固有的内核级缺陷，攻击者绕过用户命名空间限制并实现本地权限提升（LPE）至完全root权限。"

"策略操纵会危及整个主机，而命名空间绕过则促进高级内核漏洞利用，如任意内存泄露。DoS和LPE能力导致服务中断、通过无密码root进行凭据篡改（例如，修改/etc/passwd），或KASLR泄露，这使得进一步的远程利用链成为可能。"

更糟糕的是，CrackArmor使非特权用户能够创建功能齐全的用户命名空间，有效绕过Ubuntu通过AppArmor实施的用户命名空间限制，以及颠覆容器隔离、最小权限强制执行和服务加固等关键安全保证。

这家网络安全公司表示，它将暂缓发布已识别缺陷的概念验证（PoC）漏洞利用代码，以给用户一些时间来优先考虑补丁并最小化暴露。

该问题影响自版本4.11以来的所有Linux内核，在任何集成AppArmor的发行版上都存在。由于超过1260万个企业Linux实例在几个主要发行版（如Ubuntu、Debian和SUSE）中默认启用AppArmor运行，建议立即进行内核补丁以缓解这些漏洞。

Abbasi指出："立即进行内核补丁仍然是消除这些关键漏洞的不可妥协的优先事项，因为临时缓解措施无法提供与恢复供应商修复代码路径相同级别的安全保证。"

Q&A

Q1：CrackArmor漏洞是什么？它有什么危害？

A：CrackArmor是Linux内核AppArmor模块中的九个混淆代理漏洞的统称。这些漏洞允许非特权用户绕过内核保护、提升至root权限，并破坏容器隔离保证。攻击者可以操纵安全配置文件、执行拒绝服务攻击，甚至在内核中执行任意代码。

Q2：哪些Linux系统受到CrackArmor漏洞影响？

A：该问题影响自版本4.11以来的所有Linux内核，在任何集成AppArmor的发行版上都存在。主要包括Ubuntu、Debian和SUSE等发行版。目前有超过1260万个企业Linux实例默认启用AppArmor运行，都可能受到影响。

Q3：如何防护CrackArmor漏洞？有什么解决方案？

A：防护CrackArmor漏洞的最有效方法是立即进行内核补丁更新。临时缓解措施无法提供与供应商修复代码路径相同级别的安全保证。建议系统管理员优先考虑补丁更新以最小化安全风险暴露。