Qualys の研究者が「CrackArmor」という欠陥を暴露。権限のないユーザーがルート権限に昇格したり、コンテナの隔離を突破したり、システムをクラッシュさせたりすることができるもので、CVE識別子はまだ割り当てられていない。
Qualys のセキュリティ研究者は、Ubuntu、Debian、SUSE ディストリビューションに標準で有効にして提供されている Linux セキュリティモジュールである AppArmor の9つの脆弱性を開示しました。
権限のないローカル攻撃者は、管理者の認証情報を必要とせず、これらの欠陥を悪用してフルルートアクセスを取得し、コンテナの隔離を突破し、システムをクラッシュさせることができるとのことです。
Qualys の脅威研究部門(TRU)から「CrackArmor」と名付けられたこれらの脆弱性は、2017年にリリースされた Linux カーネル版 4.11 以来存在しています。Qualys 独自の資産管理テレメトリーによると、暴露された攻撃対象領域は、デフォルトで AppArmor を実行している 1,260 万以上のエンタープライズ Linux インスタンスに及び、Kubernetes クラスター、IoT デプロイメント、エッジ環境が考慮されると、この数はさらに増加するとのことです。
「Ubuntu、Debian、SUSE、および数多くのクラウドプラットフォームのデフォルトの強制アクセス制御メカニズムとして、エンタープライズ環境、Kubernetes、IoT、およびエッジ環境全体での普遍性は、脅威の表面を大幅に増加させています」と研究者らはブログポストに書きました。
根本的な設計上の欠陥
CrackArmor の中核となるのは、Qualys が「混乱した代理人」問題と説明しているもので、権限のあるプロセスが、権限のないユーザーに代わって不正な行為を実行するように欺かれる脆弱性です。勧告では、Qualys はこれを「侵入者がマスターキーを持つビル管理者を説得して、侵入者が一人では入ることができない制限されたボールトを開かせる」ことに例えています。
実際には、研究者によると、標準的なローカルユーザーアカウントは AppArmor のセキュリティプロファイル(Linux システム上で個別のアプリケーションが実行することを許可されているルールを支配するもの)を操作するのに十分とのことです。
「信頼されたシステムツール経由でコマンドをルーティングすることにより、権限のない攻撃者は、これらのプロファイルを完全にロード、置換、または削除できます。攻撃者は、重要なシステムサービスから保護を削除したり、SSH デーモンをターゲットにしてすべてのユーザーをリモートアクセスからロックアウトしたり、以前に既知のすべての回避策が閉じられた後でも、権限のないユーザー名前空間に対する Ubuntu の制限を回避することができます」と勧告は述べています。
プロファイル操作からルートシェルへ
ブログポストは、Postfix メールサーバーを備えたデフォルト Ubuntu Server インストール上で実演された完全な権限昇格チェーンについて詳しく説明しました。Sudo の特定の権限削除機能をブロックするカスタマイズされたセキュリティプロファイルをロードすることにより、研究者は Sudo を「フェイルオープン」条件に強制しました。システムのメールエージェントを呼び出す前にルート権限を削除できず、Sudo は攻撃者の環境を保存しながら、プロセスをルートとして実行します。
その結果、ルートとして任意のコマンド実行が可能になります、と研究者は述べました。
「これらの発見は、デフォルトのセキュリティ仮定への依存における重大なギャップを明らかにしています」とブログポストは述べています。「これは、システムの機密性、完全性、および可用性を世界規模で根本的に損なっています。」
「CrackArmor は、最も根拠のある保護でさえ、管理者の認証情報なしにバイパスできることを証明しています」と、Qualys の最高技術責任者である Dilip Bachwani がブログポストで述べました。「CISO にとって、これはパッチだけでは十分ではないことを意味します。インフラストラクチャにとって「デフォルト」設定が何を意味するかについての全体的な仮定を再検討する必要があります。」
これは、Qualys の研究者がデフォルト Linux コンポーネントの深刻な権限昇格脆弱性を発見したのは初めてではありません。2022年、同社は Ubuntu のユニバーサルアプリケーションパッケージングシステムである Snap の2つの欠陥を開示し、同様に低特権ユーザーが悪意のあるコードをルートとして実行することを許可しました。
カーネルレベルのバグがリスクを複合化させる
プロファイル操作ベクトルを超えて、Qualys は AppArmor 独自のコード内に4つのカーネルレベルの脆弱性を特定したと述べました。1つの欠陥は、再起動を強制することでシステム全体をクラッシュさせるために悪用される可能性があります。
別のものでは、攻撃者が保護されたカーネルメモリを読み取ることができ、セキュリティ軽減策が隠すように設計された内部アドレスを公開し、後続の悪用の実行を容易にします。他の2つの脆弱性は、デフォルトで有効な最新の悪用軽減策を備えたシステムでさえ、完全なルートアクセスへの独立したパスとしてそれぞれ実証されたとブログポストは述べています。
AppArmor は以前、他の Linux 脆弱性に対する重要な軽減制御として引用されています。Dirty Pipe 権限昇格の欠陥が 2022 年にコンテナ環境を脅かしたとき、AppArmor はエクスポーズを制限するための推奨される強化措置の中でした。
CVE 番号はありませんが、パッチは利用可能です
発表時点では、9つの脆弱性のいずれにも CVE 識別子は割り当てられていません。Linux カーネル CVE 割り当てプロセスは、修正が安定版リリースに組み込まれた後、意図的に1~2週間の識別子の発行を遅延させます。「CVE 番号の不在により重要性を軽視しないでください」と研究者はブログポストに書きました。「影響を受けるバージョンを実行している場合は、この勧告を真摯に受け止め、それに応じて更新してください。」
同社は、Ubuntu のセキュリティチーム、Canonical の AppArmor 開発者、Debian、SUSE、Sudo のメンテナーが関与する調整された開示プロセスに続いて、3月12日に Linus Torvalds のアップストリームカーネルツリーにパッチが公開されたことを追加しました。「これらの重大な脆弱性を中立化するための即座のカーネルパッチは、交渉の余地のない優先事項です」と研究者はブログポストに書きました。
