TokyoBlackHatNews

meterpreter.org 5分で読了

CrackArmor攻撃:9つの脆弱性のモザイクがどのように1260万のLinuxアーキテクチャを破砕するか

ほぼ8年間Linuxアーキテクチャ内に潜んでいた脆弱性が、一般的なシステムユーザーがサーバーに対する絶対的な支配権を奪取する能力を与えています。この問題はAppArmorセキュリティ装置内に存在し、多くの一般的なディストリビューション全体でデフォルトで有効化されるメカニズムです。

Qualysのサイバーセキュリティ先駆者たちがAppArmor内の9つの脆弱性を明らかにし、この悪質なモザイクを「CrackArmor」と名付けました。このアーキテクチャの欠陥は2017年に最初に現れ、Linuxカーネルの4.11バージョンと同時に到着しました。その後の年月を通じて、このセキュリティ侵害メカニズムは数百万のアーキテクチャに浸透しました。Qualysの法医学的評価によると、AppArmorはデフォルト設定で動作する場合、1260万を超える企業のLinuxデプロイメント内に深く根付いています。

AppArmorはLinuxカーネルに本質的に織り込まれており、強制アクセス制御(MAC)の厳粛な義務を実行しています。このメカニズムは個々のアプリケーションの運用の自由度を厳しく制限し、外部ファイルの盗用、危険なシステムの呼び出し、または不正な特権の奪取を禁止しています。このパラダイムはコンテナ化されたエンクレーブ、クラウドプラットフォーム、Kubernetesインフラストラクチャ、および組み込みアプライアンス内で広く活用されています。

CrackArmorはこの防御的な盾を無慈悲に粉砕します。発見された異常により、ローカルな無特権ユーザーが/sys/kernel/security/apparmor/ディレクトリ内に隔離されたカスタム疑似ファイルを通じてセキュリティプロファイルを操作する権限が与えられます。このベクトルを手に入れた攻撃者は、セキュリティポリシーを偽造または削除し、ユーザーネームスペースの厳しさを回避し、Linuxカーネルの主権的な聖域内で任意のコードを直接実行できます。その結果、攻撃者はその特権をroot アクセスの絶対的な頂点に昇格させる破壊的な能力を保有しています。

この動的な攻撃を実行するには、最小限の特権を持つ貧困化したアカウントで十分です。その後、デジタルな略奪者はSudoやPostfixメール転送エージェントのような信頼できるシステムツールを徴募して、神聖なAppArmorの指令を改ざんできます。このような複雑な戦略は、「混乱した副官」という根本的な問題の典型であり、高い特権を持つアプリケーションが、より低い無特権のエンティティの指示で不正な指令を無意識に実行する場面を示しています。

これらのアーキテクチャの欠陥は、管理的優位性の奪取のみならず、絶対的なシステムの麻痺をもたらす力を同時に与えています。例えば、攻撃者はSSHサービスへのアクセスを完全に禁止するプロファイルを直接注入し、合法的な管理者を自分たちのデジタルドメインから追放できます。別の形態では、ネストされたプロファイルの複雑な鎖の削除は、カタストロフィックなカーネルスタックオーバーフローを引き起こし、システムの無情な崩壊と続く再起動をもたらします。

さらに、この脆弱性はカーネルメモリから機密テレメトリーの流出を助長し、カーネルアドレス空間レイアウトランダマイゼーション(KASLR)の難読化メカニズムの回避を可能にします。非常に特定のシナリオでは、攻撃者は/etc/passwdレジストリの内容を改ざんする能力を確保し、システムに対して完全で純粋な支配権を事実上付与します。

ここでの深刻な危険は、AppArmorの広範な蔓延に不可分に関連しています。このメカニズムはUbuntu、Debian、およびSUSEの聖域内でデフォルトで起動され、同時にクラウド環境とコンテナ化されたプラットフォーム内の基本的な柱として機能しています。したがって、AppArmorの効果的な侵害はLinuxエコシステム内で最も重要な防御層の1つを実質的に破壊します。

バージョン4.11以降のLinuxカーネルの各バージョンは、アーキテクチャがAppArmorに依存している限り、極めて脆弱と見なされます。この現在の時点で、特定の共通脆弱性と露出(CVE)識別子は、これらの問題に対して正式に割り当てられていません。Linuxカーネルの先駆者たちは通常、修復パッチが安定した開発ブランチに統合された後、わずか1~2週間でそのような数値指定を行います。

Qualysは実証的なエクスプロイトチェーンを入念に作成し、この完全な侵害シーケンスの実行可能性を明確に検証しています。しかし、彼らは慎重に、致命的なソースコードを公開の場に放送することを控えています。代わりに、企業はアーキテクチャの開発者に詳細な技術インテリジェンスを秘密裏に伝達し、修復パッチの合成を超高速化する試みを行っています。

そのようなインフラストラクチャの管理者たちは、配布業者によって提供されるカーネルアップデートを最大限の速度で吸収・展開することを強く勧告されています。一時的で対症療法的な回避策では、堅牢で揺るがないセキュリティの提供に明確に失敗しています。補助的な防御姿勢として、管理者は/sys/kernel/security/apparmor/ディレクトリを絶えず監視して不正な変更がないか確認すべきです。これらのプロファイルの不審な改ざんは、動的な悪用の試みの明らかな前兆として機能するためです。

翻訳元: https://meterpreter.org/the-crackarmor-siege-how-a-9-vulnerability-mosaic-shatters-12-6m-linux-architectures/

ソース: meterpreter.org
#AppArmor #CrackArmor #Linuxカーネル #Linux脆弱性 #Qualys #Ubuntu #セキュリティ #セキュリティパッチ #ローカル攻撃 #権限昇格

関連記事

Bitskrieg仮説:Secure BootとBitLockerバイパスという迫りくる脅威

制限解除の波紋:AnthropicがClaudeの緊急クォータ復元を実施

重大なセキュリティ欠陥、Apache LDAP APIの接続を危険にさらす