CrackArmor Schwachstellen in AppArmor Bild © QualysCrackArmor Schwachstellen in AppArmor (Bild © Qualys)

Die Schwachstellen bestehen seit 2017 und betreffen weltweit schätzungsweise 12,6 Millionen Systeme, weshalb eine sofortige Kernel-Patch-Installation unerlässlich ist, um diese Bedrohungen zu neutralisieren.

Alles wichtige zu CrackArmor

  • Entdeckung der Schwachstellen: Die Qualys TRU identifizierte neun „Confused Deputy“-Schwachstellen in AppArmor, einem standardmäßigen Mechanismus zur obligatorischen Zugriffskontrolle (Mandatory Access Control, MAC) für mehrere Linux-Distributionen, darunter Ubuntu, Debian und SUSE.
  • Umfangreiche Reichweite: Über 12,6 Millionen Linux-Instanzen in Unternehmen sind betroffen, da AppArmor in verschiedenen Umgebungen, von Cloud-Plattformen bis hin zu IoT-Geräten, weit verbreitet ist.
  • Sicherheitsauswirkungen: Die Schwachstellen ermöglichen es nicht privilegierten Benutzern, Sicherheitsprofile über Pseudodateien zu manipulieren, Einschränkungen des Benutzer-Namensraums zu umgehen und beliebigen Code im Kernel auszuführen, was zu erheblichen Verletzungen der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führt.
  • Sofortige Maßnahmen erforderlich: Unternehmen müssen der sofortigen Patching ihrer Kernel Priorität einräumen, um diese kritischen Schwachstellen zu beheben, da Zwischenlösungen keine ausreichende Sicherheitsgarantie bieten.

Detaillierte Analyse

Der „CrackArmor“-Bericht deckt einen grundlegenden Fehler in den Standard-Sicherheitsannahmen auf, auf die sich viele Unternehmen verlassen. Die Ausnutzung dieser Schwachstellen ermöglicht es nicht privilegierten Benutzern, Root-Zugriff zu erlangen und die Container-Isolation zu unterlaufen, wodurch die grundlegenden Vertrauensgrenzen für Millionen von Endpunkten in der Unternehmensinfrastruktur gleichzeitig grundlegend untergraben werden.

Technischer Überblick

  • Confused Deputy Flaw: Ein nicht privilegierter Benutzer kann einen privilegierten Prozess dazu manipulieren, Aktionen in seinem Namen auszuführen, wodurch vertrauenswürdige Tools wie Sudo und Postfix effektiv dazu gebracht werden, Sicherheitskontrollen zu umgehen, auf die sie nicht direkt zugreifen können.
  • Auswirkungen auf Enterprise-Linux-Umgebungen: Die Schwachstellen ermöglichen eine lokale Privilegienerweiterung (LPE) bis hin zu Root-Rechten durch komplexe Interaktionen mit vorhandenen Tools sowie Denial-of-Service-Angriffe über Stack-Exhaustion und Umgehungen der Kernel Address Space Layout Randomization (KASLR).
  • Breites Spektrum betroffener Systeme: Alle Linux-Kernel ab Version 4.11 sind in Distributionen anfällig, die AppArmor integrieren, darunter Ubuntu, Debian, SUSE und deren Derivate.

CrackArmor Gegenmaßnahmen

Patching

Wenden Sie Sicherheitsupdates der Hersteller für AppArmor-Komponenten in allen betroffenen Distributionen an, um den korrigierten Codepfad wiederherzustellen.

Überprüfung auf Sicherheitslücken

Verwenden Sie Qualys-QIDs, um internetexponierte Ressourcen mit risikobehafteten offenen Ports oder ungepatchten Kerneln zu identifizieren.

Profilüberwachung

Implementieren Sie eine Überwachung unter /sys/kernel/security/apparmor/ auf unerwartete Änderungen, die auf aktive Ausnutzungsversuche hindeuten könnten.

Mögliche Auswirkungen

Die CrackArmor-Schwachstellen stellen erhebliche Risiken für Unternehmensumgebungen dar, einschließlich der Möglichkeit, dass nicht privilegierte lokale Akteure AppArmor-Profile manipulieren, um den Schutz kritischer Dienste zu deaktivieren oder „Deny-All“-Richtlinien durchzusetzen, was zu Denial-of-Service-Angriffen (DoS) und lokaler Privilegieneskalation (LPE).

Zeitplan und Offenlegung

Qualys hat sich an einen verantwortungsvollen Offenlegungsprozess gehalten und sichergestellt, dass vor der öffentlichen Veröffentlichung robuste und stabile Korrekturen für alle Linux-Distributionen vorliegen. Das vollständige Kommunikationsprotokoll ist im Advisory enthalten, um die Transparenz hinsichtlich der Koordinierungsbemühungen zu gewährleisten.

Unternehmen müssen alle Linux-Endpunkte mit den bereitgestellten QIDs scannen, die Installation von Patches für internetverbundene Ressourcen priorisieren und die Integrität der AppArmor-Profile überprüfen, um eine Beeinträchtigung der Sicherheit zu verhindern.