TokyoBlackHatNews

gbhackers.com 4分で読了

致命的なCrackArmor脆弱性が1,260万台のLinuxサーバーを完全なroot乗っ取りにさらしている

新たに開示された9つの脆弱性(「CrackArmor」と呼ばれる)は、LinuxのセキュリティモジュールであるAppArmorの致命的な欠陥を露呈させている。

AppArmorはUbuntu、Debian、SUSE、および多くのクラウドプラットフォームのデフォルト強制アクセス制御システムとして機能しており、この欠陥により権限のないローカルユーザーはコンテナ隔離をバイパスし、侵害されたシステムに対する完全なroot制御を獲得することができる。

脅威のリーチはエンタープライズ環境、Kubernetesクラスタ、およびエッジデバイス全体に大きく拡大している。​

Qualys脅威研究ユニット(TRU)によって発見されたこれらの脆弱性は2017年からカーネルに存在し、現在世界中の1,260万以上のエンタープライズLinuxサーバーに影響を与えている。

混乱した代理人フロー(Confused Deputy Flaw)を理解する

AppArmorは、幅広いユーザーアカウントではなく個々のアプリケーションの特定の機能を制限することにより、ゼロトラストポスチャを実行するよう設計されている。

しかし、CrackArmorはこのアーキテクチャ内の「混乱した代理人」の弱点を悪用している。権限のない攻撃者はシステムセキュリティポリシーを直接変更することはできないが、Sudoやpostfixのような信頼された高権限のツールを操作して自分に代わって行動させることができる。​

Image

これらの信頼されたプロセスを欺くことにより、攻撃者はAppArmorカーネルディレクトリにある保護されたpseudoファイルに書き込むことができ、ユーザー名前空間の制限をバイパスできる。

これは、侵入者がマスターキーを持つビルマネージャーを説得して制限されたボルトのロックを解除させるのに似ている。

基本的な問題は強制アクセス制御モデル自体の欠陥ではなく、カーネルモジュールのコードの実装エラーであるため、セキュリティ境界はサイレントに失敗する。​

攻撃者がこれらのAppArmorプロファイルを正常に操作すると、セキュリティスタック全体が崩壊する。主な技術的影響は以下の通りである:​

  • ローカル権限昇格(LPE): 攻撃者は名前空間の制限をバイパスしてroot権限を取得できる。ユーザー空間では、Sudoの特定の機能を拒否することでPostfixにroot権限でコマンドを実行させることができる。カーネル空間では、use-after-free脆弱性により攻撃者はシステムのパスワードファイル内のrootパスワード行を上書きできる。​
  • サービス拒否(DoS): 深くネストされたサブプロファイルを作成することにより、攻撃者はカーネルにプロファイル削除中にスタックメモリを枯渇させることができる。このオーバーフローはカーネルパニックと完全なシステム再起動をトリガーする。​
  • コンテナ脱出: 特定の名前空間プロファイルをロードすることにより、権限のないユーザーは完全に対応した環境を作成でき、標準的なコンテナ隔離制限を破ることができる。​
  • セキュリティのダウングレード: 攻撃者は重要なバックグラウンドサービスから保護を削除してリモート攻撃にさらすことができ、または「すべて拒否」プロファイルをロードして正当な管理アクセスをブロックできる。​

現在、CrackArmor脆弱性に対して公式に割り当てられたCVE識別子はない。

上流のLinuxカーネルチームは通常、修正が安定リリースに到着してから1〜2週間後にCVEを発行し、定期的なユーザーが更新する時間を与える。

セキュリティチームは公式なCVEトラッキングを待つ前に行動することを強く推奨されている。なぜなら、悪用メカニズムと概念は現在公開されているからである。​

インフラストラクチャを保護するために、管理者は以下の軽減策を直ちに実装する必要がある:

  • カーネルパッチを適用する: 影響を受けたすべての配布に対して最新のベンダーセキュリティアップデートを展開し、特に4.11より新しいカーネルバージョンをターゲットにする。​
  • 露出をスキャンする: 脆弱性スキャナーを利用して、修正されていないアセットを特定し、インターネット向けサーバー、コンテナノード、およびレガシー展開を優先順位付けする。​
  • プロファイルの整合性を監視する: システムのAppArmorディレクトリを積極的に監視して、予期しないファイル変更、プロファイル削除、または不正な変更がないかを確認し、積極的な悪用の試みを示す。​

CrackArmorは、カーネルの実装フローが発見されずに残された場合、デフォルトセキュリティモジュールでも致命的な弱点を導入できることを示している。

即座のパッチ適用は、この脅威を中和し、インフラストラクチャの整合性を回復させるための唯一の確実な方法である。​

翻訳元: https://gbhackers.com/critical-crackarmor-vulnerabilities-expose-12-6-million-linux-servers/

ソース: gbhackers.com
#AppArmor #CrackArmor脆弱性 #Kernel脆弱性 #Kubernetes攻撃 #Linux権限昇格 #root乗っ取り #エンタープライズセキュリティ #コンテナ脱出 #ローカル権限昇格 #強制アクセス制御

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚