Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
C’è un punto che inquieta più di altri: una protezione data quasi per scontata, in parecchi sistemi Linux, può essere aggirata da utenti senza privilegi elevati. È questo il cuore dell’avviso pubblicato su CrackArmor, nome dato a un gruppo di vulnerabilità individuate in AppArmor.
Il quadro, non è scontato. Secondo l’analisi riportata, il problema esiste dal 2017 e riguarda kernel Linux dalla versione 4.11 in poi nei sistemi che integrano AppArmor, con un impatto potenziale su oltre 12,6 milioni di istanze enterprise dove il modulo risulta attivo di default.
Qualys Threat Research Unit descrive CrackArmor come una serie di vulnerabilità di tipo confused deputy all’interno di AppArmor, modulo di sicurezza Linux usato come meccanismo di controllo accessi obbligatorio in distribuzioni come Ubuntu, Debian e SUSE. Il modello di sicurezza non viene messo in discussione in sé, ma l’implementazione contiene errori sfruttabili.
In pratica, un utente non privilegiato può indurre processi fidati a compiere operazioni al posto suo, manipolando profili di sicurezza tramite pseudo-file come /sys/kernel/security/apparmor/.load e .replace. Detta semplice: è un modo per aggirare restrizioni, intervenire sui profili e aprire la strada a esecuzione di codice nel kernel, isolamento dei container compromesso e aumento dei privilegi fino a root.
La ricerca cita anche strumenti come Sudo e Postfix nelle catene di sfruttamento. È uno di quei casi in cui una difesa pensata per confinare i processi, insomma, può diventare il punto da cui cede tutto.
Gli effetti descritti non si fermano all’escalation locale dei privilegi. Il report parla anche di attacchi denial of service, bypass di KASLR tramite letture out-of-bounds e possibilità di mandare in crash il sistema attraverso esaurimento dello stack del kernel durante la rimozione di profili molto annidati.
Un esempio riportato è piuttosto netto: caricando un profilo “deny-all” per sshd, l’accesso SSH legittimo può essere bloccato. In un altro scenario, la rimozione di una gerarchia di sottoprofili molto profonda può provocare kernel panic e riavvio forzato. Non proprio un dettaglio.
C’è poi il rischio che, durante upgrade o riavvii dei servizi, alcuni profili vengano scaricati lasciando processi senza confinamento, senza avvisi agli amministratori. E qui il problema diventa anche operativo, non solo tecnico.
L’indicazione fornita è diretta: applicare immediatamente gli aggiornamenti kernel distribuiti dai vendor. Qualys raccomanda anche di verificare l’esposizione con i QID resi disponibili, monitorare modifiche inattese nel percorso /sys/kernel/security/apparmor/ e dare priorità ai sistemi esposti su internet.
| QID | Title | VulnSigs Version |
| 386714 | AppArmor Local Privilege Escalation Vulnerability (CrackArmor) | VULNSIGS-2.6.558-3 |
| 6032579 | Ubuntu AppArmor Multiple Security Vulnerabilities (CrackArmor) | VULNSIGS-2.6.558-4 |
Nel materiale pubblicato viene spiegato che non sono ancora stati assegnati identificativi CVE e che, al momento della diffusione dell’avviso, l’assegnazione dipendeva dal team upstream del kernel Linux. Ma il messaggio è chiaro: l’assenza di un CVE non riduce la gravità del caso.
La ricerca è stata condotta da Qualys, che ha dichiarato di aver sviluppato proof of concept completi e di aver condiviso i dettagli tecnici con i team coinvolti nel percorso di disclosure coordinata.
Per la community di Red Hot Cyber il punto vero è questo: fidarsi delle impostazioni predefinite senza verificarne tenuta e limiti oggi è un lusso che nessuno può permettersi. Quando un confine di sicurezza così diffuso vacilla, la differenza la fanno velocità di patching, controllo dell’esposizione e capacità di osservare i segnali deboli prima che diventino incidente.
