新たに開示された「CrackArmor」という名称の重大な脆弱性群は、広く使用されているLinuxセキュリティモジュールであるAppArmorの大きな弱点を露出させました。
これらの欠陥により、権限のないユーザーがコンテナ隔離を回避し、影響を受けたシステムでフルなrootアクセスを獲得できる可能性があり、世界中の126百万台以上の企業向けLinuxサーバーに影響を与える可能性があります。
脆弱性はQualys脅威研究ユニット(TRU)によって発見されたもので、これらの問題は2017年からLinuxカーネルに存在していることが判明しました。
AppArmorはUbuntu、Debian、SUSEなどの主要なディストリビューションのデフォルトの強制的アクセス制御システムであるため、この露出はクラウドプラットフォーム、Kubernetesクラスタ、エッジデバイスなど、企業向けインフラストラクチャの大部分に影響を与えます。
AppArmorは、ユーザーの権限のみに依存するのではなく、個々のアプリケーションがアクセスできる内容を制限することでゼロトラスト・セキュリティモデルを実施するように設計されています。
ただし、CrackArmorの脆弱性はこのセキュリティアーキテクチャ内の「混乱した副官」の欠陥を悪用しています。
このシナリオでは、攻撃者はシステムセキュリティポリシーを直接変更することはできません。代わりに、SudoやPostfixなどの信頼される高度に特権のあるシステムツールを操作して、彼らに代わってアクションを実行します。
これらの信頼できるプロセスを悪用することで、攻撃者はAppArmorカーネルディレクトリ内の保護されたプセウドファイルに書き込むことができ、Linuxユーザー名前空間によって実施される制限をバイパスすることができます。
この技術は、特権プログラムを効果的にトリックして、通常のユーザーが実行することが許可されていないアクションを実行させます。
セキュリティ研究者は、この技術を侵入者の代わりにマスターキーを持つビル管理者に施錠されたボールトを開くよう説得することに例えています。
信頼できるプロセスは知らないうちに制限されたアクションを実行し、攻撃者がセキュリティ境界をバイパスするのを可能にします。
根本的な原因は、強制的アクセス制御モデル自体ではなく、カーネルモジュールコード内の実装の欠陥にあります。
その結果、セキュリティ境界は静かに失敗し、攻撃者が明らかなセキュリティアラートをトリガーすることなくAppArmorプロファイルを操作することができます。
CrackArmor脆弱性の成功した悪用は、影響を受けたシステムにいくつかの深刻な結果をもたらす可能性があります。
カーネル空間では、use-after-free脆弱性により、攻撃者はシステムのパスワードファイル内のルートパスワードエントリを上書きできる可能性があります。
開示の時点で、CVE識別子はまだCrackArmor脆弱性に割り当てられていません。
TheLinuxカーネル開発プロセスは、通常、修正が安定したリリースに表示されてから1~2週間後までCVE公開を遅延させ、ユーザーが更新を適用する時間を与えます。
ただし、技術的な詳細と悪用の概念はすでに公開されているため、研究者は組織が公式なCVEトラッキングを待つべきではないと警告しています。
セキュリティチームは以下の即座なステップを取ることが推奨されています:
CrackArmor脆弱性は、実装の欠陥が検出されないままである場合、基礎的なセキュリティメカニズムでさえ重大なリスクをもたらす可能性があることを強調しています。
迅速なパッチと積極的な監視は、潜在的な悪用に対する最も効果的な防御のままです。