Die Qualys Threat Research Unit (TRU) hat nach eigenem Bekunden neun Sicherheitslücken in AppArmor, einem Linux Security Module (LSM), entdeckt, die bereits seit 2017 und Version v4.11 bestehen sollen. Da AppArmor bei der obligatorischen Zugriffskontrolle bei Ubuntu, Debian, Suse und zahlreichen Cloud-Plattformen zum Einsatz kommt, ist es allgegenwärtig und die Nutzung in Unternehmensumgebungen, Kubernetes, IoT- und Edge-Umgebungen vergrößert die Angriffsfläche noch.
Die Schwachstellen haben laut der Qualys Threat Research Unit seit 2017 über 12 Millionen Unternehmenssysteme, auf denen besagte Ubuntu-, Debian- und SUSE-Distributionen laufen, angreifbar gemacht. Lokale Angreifer sollen darüber vollständigen Root-Zugriff erlangen, Container-Ausbrüche ausführen und systemweite Abstürze verursachen können.
Die CrackArmor-Sicherheitslücken nutzen nach den Erkenntnissen der Sicherheitsexperten eine „Confused Deputy”-Schwachstelle aus, die ein vertrauenswürdiges Programm mit höheren Berechtigungen dazu manipuliert, seine Befugnisse zu missbrauchen. Angreifer könnten so Systemprozesse dazu verleiten, böswillige Aktionen in ihrem Namen auszuführen, wodurch sie Sicherheitskontrollen effektiv umgehen und sich unbefugten Zugriff verschaffen oder Berechtigungen eskalieren können, ohne dass sie über Administratorrechte verfügen müssen, berichtet Qualys.
Diese Schwachstellen ermöglichen nach dem Bericht der Experten eine lokale Rechteausweitung auf Root durch komplexe Interaktionen mit Tools wie Sudo und Postfix sowie Denial-of-Service-Angriffe durch Stack-Erschöpfung und Umgehung der Kernel Address Space Layout Randomization (KASLR) mittels Lesezugriffen außerhalb des zulässigen Bereichs.
Die Entdeckung bedeute ein erhebliches Risiko für zahlreiche Branchen. Zu den am stärksten betroffenen Branchen gehören Cloud Computing, Bank- und Finanzwesen, Fertigung, Gesundheitswesen und Behörden, so Qualys.
Die Forscher von Qualys haben festgestellt, dass die einzige zuverlässige Methode zur Minderung der CrackArmor-Schwachstellen das sofortige Patchen des Kernels ist. Unternehmen werden dringend aufgefordert, die erforderlichen Sicherheitsupdates zu installieren, um ihre Systeme vor potenziellen Angriffen zu schützen.
Im Einklang mit dem Prozess der verantwortungsvollen Offenlegung hat das Qualys TRU-Team mehrere Monate lang mit den Upstream-Maintainern koordiniert und kommuniziert, um sicherzustellen, dass die Korrekturen vor der öffentlichen Veröffentlichung für alle Linux-Distributionen robust und stabil sind. Qualys arbeitet weiterhin mit der Community zusammen, um diese kritischen Sicherheitsprobleme zu beheben, teilt das Unternehmen mit. Der ausführliche Blogbeitrag zu CrackArmor beschreibt die Lücken und die Mittel dagegen.
