新規公開されたCrackArmor脆弱性が1260万台のLinuxサーバーを完全なルートアクセスから脅威にさらす

Qualys Threat Research Unit (TRU) によって発見された9つの脆弱性は、AppArmorと呼ばれるLinuxのセキュリティモジュールに深刻な欠陥を明らかにしました。この脆弱性は、AppArmorがUbuntu、Debian、SUSE、および多くのクラウドプラットフォームのデフォルトの強制アクセス制御システムとして機能しているため、1260万台以上の企業Linuxサーバーが影響を受ける可能性があります。

脆弱性の詳細

これらの脆弱性は「CrackArmor」と呼ばれ、2017年以来存在し、AppArmorが提供する保護をバイパスし、ローカルユーザーがコンテナの隔離を突破して完全なルートアクセスを獲得できるようにします。この脆弱性は、AppArmorが設計するゼロトラストのポジションを侵害し、個々のアプリケーションの特定の機能を制限する代わりに、広範なユーザーアカウントを制限するというアプローチを無効にします。

脆弱性の影響

これらの脆弱性は、ローカル特権昇格、サービス拒否攻撃、コンテナのブレイクアウト、およびセキュリティの降格を可能にします。

• ローカル特権昇格 (LPE): 攻撃者は名前空間の制限をバイパスしてルートアクセスを獲得できます。
• サービス拒否 (DoS): 攻撃者は深くネストされたサブプロファイルを作成して、プロファイルの削除中にカーネルのスタックメモリを消費させ、カーネルパニックを引き起こし、システムを再起動させることができます。
• コンテナのブレイクアウト: 特定の名前空間プロファイルをロードすることで、非特権ユーザーが完全に機能する環境を作成し、標準のコンテナ隔離制限を突破できます。
• セキュリティの降格: 攻撃者は重要なバックグラウンドサービスの保護を削除し、リモート攻撃にさらすか、「deny-all」プロファイルをロードして正当な管理アクセスをブロックできます。

緊急対応と修正

現在、これらの脆弱性にはCVE識別子が正式に割り当てられていません。しかし、セキュリティチームは公式CVEトラッキングを待たずに行動を開始することが強く推奨されています。

• カーネルパッチの適用: すべての影響を受けるディストリビューションの最新のセキュリティアップデートを展開し、4.11以降のカーネルバージョンに特に注意を払ってください。
• 露出のスキャン: バグスキャナを使用して未修正の資産を特定し、インターネット向けサーバー、コンテナノード、およびレガシーデプロイメントを優先的に対処してください。
• プロファイルの整合性の監視: システムのAppArmorディレクトリで予期しないファイルの変更、プロファイルの削除、または不正な変更を積極的に監視し、アクティブな攻撃を示す可能性があります。

結論

CrackArmorは、カーネル実装の欠陥が見つからなかった場合に、デフォルトのセキュリティモジュールが重大な脆弱性を導入する可能性があることを示しています。即時パッチ適用は、この脅威を中和し、インフラストラクチャの健全性を回復する唯一の確実な方法です。

元記事: https://gbhackers.com/critical-crackarmor-vulnerabilities-expose-12-6-million-linux-servers/