Исследовательское подразделение Qualys Threat Research Unit (TRU) сообщило о выявлении девяти уязвимостей в модуле безопасности AppArmor ядра Linux. Комплекс проблем, получивший название CrackArmor, позволяет непривилегированным пользователям обходить защитные механизмы ядра, повышать привилегии до уровня root и нарушать изоляцию контейнеров, что делает инцидент значимым для корпоративных инфраструктур и облачных сред.
AppArmor и его роль в безопасности Linux
AppArmor — это модуль принудительного контроля доступа (MAC, Mandatory Access Control), работающий на уровне ядра Linux. Он накладывает дополнительные ограничения на приложения, описанные в специальных профилях безопасности, и тем самым снижает ущерб от эксплуатации как известных, так и новых уязвимостей в ПО.
Начиная с версии ядра 2.6.36, AppArmor включён в mainline-ядро и по умолчанию используется в ряде популярных дистрибутивов, таких как Ubuntu, Debian, SUSE и их производные. Во многих организациях именно AppArmor — один из ключевых слоёв защиты серверов, контейнерных платформ и рабочих станций.
Набор уязвимостей CrackArmor: суть проблемы
Атаки класса confused deputy в контексте AppArmor
Все девять уязвимостей CrackArmor относятся к классу confused deputy. Этот тип атак возникает, когда менее привилегированный процесс заставляет более привилегированный компонент системы выполнять действия от его имени, фактически «злоупотребляя» доверенными правами.
В случае с CrackArmor непривилегированный пользователь может воздействовать на AppArmor через специальные псевдофайлы в файловой системе ядра. Перехватывая логику работы модуля, злоумышленник добивается того, что AppArmor — как «путанный заместитель» — начинает выполнять операции, которые напрямую для данного пользователя были бы запрещены.
Манипуляция профилями и выполнение кода в ядре
По данным Qualys, уязвимости присутствуют в коде AppArmor как минимум с 2017 года и затрагивают все версии ядра Linux начиная с 4.11 в дистрибутивах, где AppArmor активен. Атакующий без административных прав получает возможность:
— изменять или подменять профили AppArmor для системных сервисов;
— отключать защиту критически важных демонов;
— навязывать политикам профилей режим «deny-all», провоцируя отказ в обслуживании (DoS);
— в связке с ошибками парсинга профилей на уровне ядра добиваться локального повышения привилегий (LPE) вплоть до выполнения произвольного кода в контексте ядра.
Отдельно исследователи подчёркивают возможность обхода ограничений на user namespaces, в том числе в Ubuntu, где их использование существенно ограничено по соображениям безопасности. Это открывает путь к созданию «полноценных» пространств имён пользователями без привилегий и, как следствие, к обходу изоляции контейнеров и breakout-атакам в многопользовательских или облачных окружениях.
Масштаб воздействия и потенциальные сценарии атак
По оценке Qualys, под угрозой находятся более 12,6 млн корпоративных инсталляций Linux с включённым AppArmor. Реальное число уязвимых систем может быть ещё выше с учётом облачной инфраструктуры, виртуализированных сред и контейнерных оркестраторов, где Linux и AppArmor используются как стандарт де-факто.
От DoS до полного компромета контроля над системой
Последствия эксплуатации CrackArmor зависят от конкретного сценария и конфигурации системы. Возможны следующие векторы:
— вывод из строя ключевых сервисов, отвечающих за аутентификацию, логирование или сетевые функции;
— модификация критичных файлов, включая /etc/passwd, что теоретически позволяет организовать вход без пароля или создать «скрытые» учётные записи;
— раскрытие механизма KASLR (Kernel Address Space Layout Randomization) и утечка информации о расположении ядра в памяти, что упрощает дальнейшую эксплуатацию других уязвимостей и построение надёжных ROP-цепочек.
По степени риска CrackArmor сопоставим с известными ранее локальными уязвимостями ядра Linux, такими как Dirty COW (CVE-2016-5195), которые также позволяли непривилегированным пользователям становиться root. Однако использование AppArmor во многих корпоративных политиках как «дополнительного щита» делает текущий набор уязвимостей особенно чувствительным: атака направлена именно на механизм, призванный усиливать безопасность.
Рекомендации по защите: обновление ядра как ключевой шаг
Исследователи Qualys пока не публикуют рабочие proof-of-concept эксплойты, чтобы дать вендорам и администраторам время на установку исправлений. Тем не менее факт публичного раскрытия деталей повышает вероятность того, что независимые исследователи или злоумышленники смогут воспроизвести атаку.
По словам Саида Аббаси, старшего менеджера Qualys TRU, единственной надёжной мерой защиты от CrackArmor остаётся своевременное обновление ядра Linux; временные обходные решения не обеспечивают полноценной безопасности.
Рекомендуется:
— оперативно установить патчи ядра, предоставленные разработчиками дистрибутивов;
— инвентаризировать системы, где активно используются AppArmor-профили, и определить приоритетные узлы (серверы аутентификации, базы данных, контейнерные хосты);
— в краткосрочной перспективе усилить мониторинг попыток изменения профилей AppArmor и подозрительных операций с user namespaces;
— ограничить локальный доступ к системам, где обновление невозможно немедленно, и применить принцип наименьших привилегий для всех пользователей и сервисов;
— включить проверку подверженности CrackArmor и контроль версий ядра в процедуры регулярного управления уязвимостями и аудита безопасности.
CrackArmor демонстрирует, что даже зрелые механизмы защиты, такие как AppArmor, могут становиться точкой входа для атак класса повышение привилегий в Linux. Для организаций это ещё одно напоминание о необходимости выстраивать многоуровневую защиту, поддерживать актуальные версии ядра и системных компонентов и инвестировать в постоянный мониторинг уязвимостей. Чем быстрее будут установлены исправления и обновлены политики безопасности, тем ниже вероятность того, что данный набор уязвимостей станет основой для реальных атак на производственные среды.
