Das Forschungsteam der Qualys Threat Research Unit (TRU) hat einen Verbund von neun Schwachstellen im Linux-Sicherheitsmodul AppArmor offengelegt. Die unter dem Namen CrackArmor zusammengefassten Fehler erlauben es lokalen, nicht privilegierten Nutzern, Kernel-Schutzmechanismen zu umgehen, sich bis auf root zu erweitern und Container-Isolation zu durchbrechen. Damit trifft CrackArmor direkt den Sicherheitskern vieler Unternehmens- und Cloud-Umgebungen.
Was hinter den CrackArmor-Schwachstellen in Linux AppArmor steckt
AppArmor als zentrales Linux-Sicherheitsmodul
AppArmor ist ein Mandatory-Access-Control-(MAC)-Modul im Linux-Kernel. Anhand vordefinierter Sicherheitsprofile legt es fest, auf welche Dateien, Verzeichnisse, Sockets oder Capabilities ein Prozess zugreifen darf – unabhängig von traditionellen Unix-Rechten. Seit Kernel-Version 2.6.36 ist AppArmor Bestandteil des Mainline-Kernels und wird standardmaessig in Distributionen wie Ubuntu, Debian und SUSE eingesetzt. In zahlreichen Unternehmen bildet AppArmor einen der wichtigsten Schutzlayer fuer Server, Container-Hosts und Workstations.
Confused-Deputy-Angriffe auf Kernel-Schutzmechanismen
Alle neun Schwachstellen von CrackArmor gehoeren zur Klasse der confused deputy attacks. Dabei nutzt ein weniger privilegierter Prozess einen maechtigeren Systemkomponenten – hier AppArmor – als „Stellvertreter“, um Aktionen auszufuehren, die ihm selbst untersagt sind. Ueber spezielle Pseudo-Dateien im virtuellen Dateisystem des Kernels kann ein Angreifer die Logik von AppArmor manipulieren, bis das Modul im Namen des Angreifers Operationen mit hoeheren Rechten ausfuehrt.
Laut Qualys existieren die Schwachstellen mindestens seit 2017 und betreffen alle Linux-Kernel ab Version 4.11, sofern AppArmor aktiviert ist. Betroffene Systeme reichen von klassischen Bare-Metal-Servern ueber virtuelle Maschinen bis hin zu Kubernetes- und anderen Container-Plattformen.
Angriffsszenarien: Von Dienst-Ausfaellen bis Container-Breakout
Manipulation von Sicherheitsprofilen und Privilege Escalation
Ein lokaler Angreifer ohne Administratorrechte kann im Rahmen von CrackArmor:
– AppArmor-Profile fuer Systemdienste veraendern oder austauschen und so Schutzregeln gezielt aufweichen;
– die Absicherung kritischer Daemons temporär oder dauerhaft deaktivieren;
– Profile in einen „deny-all“-Modus zwingen und so gezielt Denial-of-Service-Situationen herbeifuehren;
– in Kombination mit Parsing-Fehlern im Kernel lokale Privilege-Escalation (LPE) bis zur Codeausfuehrung im Kernel-Kontext erzielen.
Besonders heikel ist die Moeglichkeit, Systemdateien wie /etc/passwd indirekt zu beeinflussen. Gelingt dies, sind Szenarien wie passwortlose Logins oder das Anlegen versteckter Benutzerkonten denkbar. Zudem kann die Schwachstellengruppe den Schutzmechanismus KASLR (Kernel Address Space Layout Randomization) unterlaufen und Speicheradressen des Kernels preisgeben, was nachfolgende Exploits deutlich erleichtert und robuste ROP-Ketten beguenstigt. In ihrer Auswirkung sind die Luecken mit bekannten Kernel-Exploits wie Dirty COW (CVE-2016-5195) vergleichbar.
Gefahr fuer Container- und Cloud-Umgebungen
Ein zentrales Risiko von CrackArmor ist der Bypass von Einschraenkungen fuer User Namespaces. Distributionen wie Ubuntu begrenzen deren Nutzung bewusst, um Privilege-Escalation-Angriffe zu erschweren. Ueber die AppArmor-Schwachstellen koennen Angreifer dennoch vollwertige User Namespaces ohne Privilegien anlegen. Dies oeffnet den Weg zu Container Escapes und Breakout-Angriffen in Multi-Tenant- und Cloud-Umgebungen, in denen Container-Isolation ein tragendes Sicherheitsprinzip ist.
Betroffener Umfang und Risikobewertung fuer Unternehmen
Qualys schaetzt, dass weltweit ueber 12,6 Millionen Unternehmensinstallationen mit aktiviertem AppArmor angreifbar sind. Die reale Zahl duerfte hoeher liegen, da Linux mit AppArmor in vielen Cloud-Angeboten, Hosting-Plattformen und Container-Orchestrierungsloesungen als De-facto-Standard fungiert. Besonders exponiert sind Systeme, auf denen sicherheitskritische Komponenten wie Authentifizierungsdienste, Datenbanken oder zentrale Log-Server laufen.
Die Brisanz liegt darin, dass ein eigentlich härtender Sicherheitsmechanismus selbst zum Einfallstor wird. Organisationen, die AppArmor als zusaetzlichen Schutzschild im Rahmen von Compliance-Vorgaben oder Hardening-Guides einsetzen, muessen ihre Risikoannahmen ueberarbeiten und kurzfristig reagieren.
Empfohlene Sicherheitsmassnahmen gegen CrackArmor
Die Forscher von Qualys haben bislang keine oeffentlichen Proof-of-Concept-Exploits veroefentlicht, um Administratoren und Distributionen Zeit fuer Patches zu geben. Durch die veroeffentlichten technischen Details ist dennoch davon auszugehen, dass unabhängige Sicherheitsforscher und Angreifer die Exploits kurzfristig nachbauen koennen.
Nach Aussage von Qualys-TRU-Vertretern ist die zeitnahe Aktualisierung des Linux-Kernels die einzig verlaessliche Schutzmassnahme. Temporäre Workarounds koennen das Risiko hoechstens reduzieren, bieten aber keinen vollstaendigen Schutz. Empfehlenswert sind insbesondere folgende Schritte:
– Sofortige Installation der von den Distributionen bereitgestellten Kernel-Patches auf allen Systemen mit aktivem AppArmor;
– Erstellung einer Inventur aller Server und Container-Hosts, die AppArmor-Profile produktiv nutzen, und priorisierte Behandlung sicherheitskritischer Systeme;
– kurzfristige Verstaerkung des Monitorings fuer Aenderungen an AppArmor-Profilen sowie fuer ungewoehnliche Aktivitaeten rund um User Namespaces;
– Einschraenkung des lokalen Zugangs und strikte Umsetzung des Least-Privilege-Prinzips fuer alle Accounts und Dienste, insbesondere dort, wo Updates nicht sofort moeglich sind;
– Integration von CrackArmor-Checks (Kernel-Version, AppArmor-Status) in bestehende Vulnerability-Management- und Audit-Prozesse.
CrackArmor fuehrt deutlich vor Augen, dass selbst etablierte Schutzmechanismen wie AppArmor zum Ausgangspunkt von Privilege-Escalation- und Container-Escape-Angriffen werden koennen. Unternehmen sollten dies als Anlass nehmen, ihre mehrschichtige Sicherheitsarchitektur, Patch-Prozesse und laufende Verwundbarkeitsanalysen zu ueberpruefen und zu verschaerfen. Wer Kernel-Updates schnell einspielt, AppArmor-Policies regelmaessig ueberprueft und sicherheitsrelevante Ereignisse kontinuierlich ueberwacht, reduziert die Wahrscheinlichkeit deutlich, dass CrackArmor in produktiven Umgebungen erfolgreich ausgenutzt werden kann.
