Linux セキュリティモジュール AppArmor の新たに発見された一連の脆弱性により、攻撃者はルートアクセスを獲得し、システム保護をバイパスし、数百万のシステムにわたるサービス停止をトリガーする可能性があります。
‘CrackArmor’ と総称されるこれらの問題は、Qualys の脅威研究ユニット (TRU) によって発見されました。研究者は 2017 年の Linux カーネルバージョン 4.11 以降に存在する 9 つの脆弱性を特定しました。
AppArmor は Ubuntu、Debian、SUSE などの広く使用されている Linux ディストリビューションではデフォルトで有効になっているため、露出は広範囲に及びます。
Qualys の推定によれば、現在 AppArmor が有効な状態で実行されている企業向け Linux システムは 1,260 万台を超えています。これらのシステムは、企業インフラストラクチャ、クラウドプラットフォーム、Kubernetes 環境、モノのインターネット (IoT) デバイス、エッジデプロイメント全体で一般的に使用されています。
脆弱性は「混乱した代理人」の欠陥から生じており、これにより権限のないローカルユーザーが AppArmor セキュリティプロファイルを操作できます。カーネル内の疑似ファイルを悪用することで、攻撃者はユーザーネームスペース制限をバイパスし、任意のコードを実行できる可能性があります。
企業インフラストラクチャ全体における潜在的な混乱
脆弱性を悪用するために攻撃者は管理者認証情報を必要としません。Qualys によれば、攻撃者に標準的なローカルアカウントを与えるあらゆるシナリオがシステムを兵器化するのに十分である可能性があります。
Linux セキュリティ脆弱性について詳しく読む: コアダンプを経由したパスワードハッシュを露出させる新しい Linux 脆弱性
研究者は、これらの欠陥を重要なサービスへのアクセスをブロックしたり、システム全体をクラッシュさせたりするためにも使用できると述べています。
-
ルートへのローカル権限昇格 (LPE)
-
スタック枯渇によってトリガーされるカーネルクラッシュ
-
操作されたセキュリティプロファイルによるサービス拒否 (DoS) 攻撃
-
コンテナ分離のバイパス
-
範囲外読み取りによるカーネルメモリの潜在的な露出
例えば、攻撃者は SSH などのサービスに対して「すべて拒否」プロファイルをロードし、正当なリモート接続を防止できます。
深くネストされたプロファイル削除によってカーネルスタックが枯渇する可能性もあり、カーネルパニックと強制再起動がトリガーされる可能性があります。
パッチのデプロイが急務
Qualys の研究者は、脆弱性を実証する概念実証 (POC) エクスプロイトを開発しましたが、パッチが適用されていないシステムへのリスクを制限するため、エクスプロイトコードを公開していません。
Qualys の最高技術責任者である Dilip Bachwani は、「これらの発見は、デフォルトのセキュリティ仮定にいかに依存しているかについての重大なギャップを浮き彫りにしている」と述べています。
「CrackArmor は、管理者認証情報がなくても、最も根付いた保護さえもバイパスできることを証明しています。」
CVE 識別子はまだ割り当てられていません。これは、Linux カーネルアップストリームに影響を与える脆弱性は通常、修正が安定版リリースに組み込まれた後にのみ CVE を受け取るためです。Qualys は、それでも組織に Ubuntu アドバイザリを緊急として扱うことを促しました。
セキュリティチームは、ベンダーカーネル更新プログラムをすぐに適用し、脆弱なシステムについて環境をスキャンし、AppArmor プロファイルディレクトリを疑わしい変更がないか監視することが推奨されます。
翻訳元: https://www.infosecurity-magazine.com/news/crackarmor-linux-privilege/
