C’è un punto che inquieta più di altri: una protezione data quasi per scontata, in parecchi sistemi Linux, può essere aggirata da utenti senza privilegi elevati. È questo il cuore dell’avviso pubblicato su CrackArmor, nome dato a un gruppo di vulnerabilità individuate in AppArmor.
Il quadro, non è scontato. Secondo l’analisi riportata, il problema esiste dal 2017 e riguarda kernel Linux dalla versione 4.11 in poi nei sistemi che integrano AppArmor, con un impatto potenziale su oltre 12,6 milioni di istanze enterprise dove il modulo risulta attivo di default.
Qualys Threat Research Unit descrive CrackArmor come una serie di vulnerabilità di tipo confused deputy all’interno di AppArmor, modulo di sicurezza Linux usato come meccanismo di controllo accessi obbligatorio in distribuzioni come Ubuntu, Debian e SUSE. Il modello di sicurezza non viene messo in discussione in sé, ma l’implementazione contiene errori sfruttabili.
Advertising
In pratica, un utente non privilegiato può indurre processi fidati a compiere operazioni al posto suo, manipolando profili di sicurezza tramite pseudo-file come /sys/kernel/security/apparmor/.load e .replace. Detta semplice: è un modo per aggirare restrizioni, intervenire sui profili e aprire la strada a esecuzione di codice nel kernel, isolamento dei container compromesso e aumento dei privilegi fino a root.
La ricerca cita anche strumenti come Sudo e Postfix nelle catene di sfruttamento. È uno di quei casi in cui una difesa pensata per confinare i processi, insomma, può diventare il punto da cui cede tutto.
Gli effetti descritti non si fermano all’escalation locale dei privilegi. Il report parla anche di attacchi denial of service, bypass di KASLR tramite letture out-of-bounds e possibilità di mandare in crash il sistema attraverso esaurimento dello stack del kernel durante la rimozione di profili molto annidati.
Un esempio riportato è piuttosto netto: caricando un profilo “deny-all” per sshd, l’accesso SSH legittimo può essere bloccato. In un altro scenario, la rimozione di una gerarchia di sottoprofili molto profonda può provocare kernel panic e riavvio forzato. Non proprio un dettaglio.
C’è poi il rischio che, durante upgrade o riavvii dei servizi, alcuni profili vengano scaricati lasciando processi senza confinamento, senza avvisi agli amministratori. E qui il problema diventa anche operativo, non solo tecnico.
Advertising
L’indicazione fornita è diretta: applicare immediatamente gli aggiornamenti kernel distribuiti dai vendor. Qualys raccomanda anche di verificare l’esposizione con i QID resi disponibili, monitorare modifiche inattese nel percorso /sys/kernel/security/apparmor/ e dare priorità ai sistemi esposti su internet.
QID
Title
VulnSigs Version
386714
AppArmor Local Privilege Escalation Vulnerability (CrackArmor)
Nel materiale pubblicato viene spiegato che non sono ancora stati assegnati identificativi CVE e che, al momento della diffusione dell’avviso, l’assegnazione dipendeva dal team upstream del kernel Linux. Ma il messaggio è chiaro: l’assenza di un CVE non riduce la gravità del caso.
La ricerca è stata condotta da Qualys, che ha dichiarato di aver sviluppato proof of concept completi e di aver condiviso i dettagli tecnici con i team coinvolti nel percorso di disclosure coordinata.
Per la community di Red Hot Cyber il punto vero è questo: fidarsi delle impostazioni predefinite senza verificarne tenuta e limiti oggi è un lusso che nessuno può permettersi. Quando un confine di sicurezza così diffuso vacilla, la differenza la fanno velocità di patching, controllo dell’esposizione e capacità di osservare i segnali deboli prima che diventino incidente.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.
Aree di competenza:Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.