I ricercatori della Qualys Threat Research Unit hanno scoperto una serie di vulnerabilità critiche nel sistema di sicurezza AppArmor utilizzato nei kernel Linux. Le nove falle, denominate CrackArmor, consentono a un utente locale non privilegiato di ottenere privilegi root, compromettendo completamente il sistema. Le vulnerabilità esistono dal kernel Linux 4.11 del 2017 e riguardano il modo in cui AppArmor gestisce i profili di sicurezza e i pseudo-file del kernel. Secondo l’analisi pubblicata da Qualys, un attaccante può manipolare questi meccanismi per eseguire codice arbitrario nel kernel, provocare denial-of-service, accedere alla memoria del sistema o modificare file sensibili come /etc/passwd. Le distribuzioni maggiormente coinvolte sono Ubuntu, Debian e SUSE, che utilizzano AppArmor come sistema di confinamento dei processi. La scoperta ha spinto i vendor a rilasciare patch urgenti per mitigare il rischio su milioni di sistemi Linux utilizzati in ambienti enterprise, cloud e infrastrutture critiche.
Cosa leggere
Le vulnerabilità CrackArmor individuate da Qualys
La ricerca condotta da Qualys ha identificato nove vulnerabilità distinte nel codice di AppArmor. Il problema principale riguarda una serie di confused deputy vulnerabilities, cioè errori di progettazione che permettono a un utente non privilegiato di sfruttare processi con privilegi elevati per eseguire operazioni normalmente proibite. L’attacco sfrutta pseudo-file presenti nel percorso /sys/kernel/security/apparmor/, in particolare quelli utilizzati per caricare, sostituire o rimuovere i profili di sicurezza. Manipolando questi file, un attaccante può indurre processi privilegiati come sudo o Postfix a modificare profili AppArmor protetti. Questo comportamento permette di bypassare le restrizioni imposte dai user namespace e di eseguire operazioni che dovrebbero essere limitate ai soli amministratori. In uno scenario dimostrato dai ricercatori, l’attaccante può caricare un profilo deny-all su un servizio essenziale come SSH, causando un immediato blocco del servizio e quindi un attacco denial-of-service. Altri vettori permettono di rimuovere profili di sicurezza in modo ricorsivo, provocando un kernel panic attraverso l’esaurimento dello stack.
Use-after-free e disclosure di memoria nel kernel
Tra i bug individuati dai ricercatori figura anche una vulnerabilità use-after-free nel componente aa_loaddata. Questo difetto consente a un attaccante di riutilizzare pagine di memoria precedentemente liberate, permettendo potenzialmente di leggere informazioni sensibili presenti nella memoria del kernel. In combinazione con altre vulnerabilità della catena CrackArmor, questo comportamento può portare a memory disclosure, cioè alla fuga di dati riservati dal kernel verso lo spazio utente. In alcuni casi gli attaccanti possono anche sfruttare out-of-bounds reads per aggirare meccanismi di protezione come KASLR, la tecnica utilizzata nei sistemi Linux per randomizzare la posizione della memoria del kernel. La combinazione di questi difetti permette di ottenere privilegi elevati e modificare file critici del sistema, inclusi quelli che gestiscono gli account utente. I ricercatori hanno dimostrato che un attaccante potrebbe alterare il file /etc/passwd per creare un account con privilegi root accessibile tramite il comando su.
Impatto sulle distribuzioni Linux e sugli ambienti cloud
Le vulnerabilità CrackArmor colpiscono potenzialmente tutti i kernel Linux dalla versione 4.11 in poi, ovvero una grande parte dei sistemi attualmente in produzione. Le distribuzioni più esposte sono quelle che utilizzano AppArmor come sistema di confinamento dei processi, tra cui Ubuntu, Debian e SUSE. Questo significa che milioni di sistemi server e desktop potrebbero essere vulnerabili, inclusi ambienti cloud, container e infrastrutture Kubernetes. In questi contesti AppArmor viene spesso utilizzato per isolare i processi all’interno dei container. Se un attaccante riesce a sfruttare le vulnerabilità CrackArmor, potrebbe eseguire un container escape, cioè uscire dall’ambiente isolato e ottenere accesso diretto all’host. Secondo le stime riportate da Qualys, oltre 12 milioni di sistemi Linux enterprise potrebbero essere potenzialmente interessati dal problema. L’impatto riguarda anche dispositivi IoT, edge computing e sistemi embedded che utilizzano kernel Linux derivati. La gravità della situazione ha spinto diverse organizzazioni di sicurezza, tra cui agenzie governative e centri di risposta agli incidenti informatici, a pubblicare avvisi per incoraggiare gli amministratori a verificare immediatamente la presenza delle patch.
Rischi per infrastrutture critiche e settori sensibili
L’impatto delle vulnerabilità CrackArmor non riguarda solo sistemi desktop o server generici. Molte infrastrutture critiche, come quelle nei settori energia, sanità e servizi pubblici, utilizzano Linux come base per sistemi industriali e applicazioni mission-critical. In questi contesti, una vulnerabilità che permette escalation a root può avere conseguenze estremamente gravi. Un attaccante potrebbe interrompere servizi essenziali, modificare dati sensibili o compromettere sistemi di controllo industriale. Il problema è aggravato dal fatto che le vulnerabilità sono rimaste presenti nel kernel per quasi otto anni, accumulando potenzialmente una vasta superficie di sistemi vulnerabili.
Processo di disclosure coordinata
Qualys ha gestito la scoperta delle vulnerabilità attraverso un processo di coordinated disclosure con i principali vendor Linux. I ricercatori hanno analizzato il codice del kernel e sviluppato una serie di proof-of-concept per dimostrare la catena completa di exploitation. La società ha condiviso i dettagli tecnici con i team di sicurezza di Canonical, Debian, SUSE e altri sviluppatori del kernel Linux, permettendo di preparare patch correttive prima della divulgazione pubblica. Le vulnerabilità non hanno ricevuto immediatamente identificatori CVE, poiché il team upstream del kernel assegna questi codici solo dopo che le patch sono state integrate nelle versioni stabili del kernel. Il documento tecnico pubblicato da Qualys descrive in dettaglio la struttura degli exploit e le modalità con cui gli attaccanti potrebbero sfruttare i bug per ottenere privilegi di root.
Patch e strumenti di mitigazione
I vendor Linux hanno iniziato a distribuire aggiornamenti di sicurezza del kernel che correggono le vulnerabilità CrackArmor. Gli amministratori di sistema sono invitati ad applicare queste patch il prima possibile, poiché non esistono mitigazioni temporanee altrettanto efficaci. Qualys ha inoltre pubblicato strumenti di rilevamento all’interno della propria piattaforma di sicurezza. Tra questi figura il QID 386714, che permette di identificare sistemi vulnerabili, mentre il QID 45097 consente di rilevare versioni di kernel Linux potenzialmente affette dal problema. Gli amministratori possono anche monitorare eventuali modifiche sospette nella directory /sys/kernel/security/apparmor/, poiché manipolazioni non autorizzate di questi file potrebbero indicare un tentativo di exploit.
Raccomandazioni per amministratori e aziende
Per ridurre il rischio associato alle vulnerabilità CrackArmor, gli esperti di sicurezza raccomandano alcune azioni immediate. Gli amministratori dovrebbero aggiornare i kernel Linux alle versioni patchate e verificare che tutti i sistemi utilizzino i pacchetti di sicurezza più recenti. È inoltre consigliabile monitorare attentamente i log di sistema e i profili AppArmor per individuare eventuali modifiche sospette. Nei sistemi che utilizzano container o orchestrazione Kubernetes, è opportuno verificare le configurazioni di sicurezza e monitorare eventuali tentativi di container breakout. Le organizzazioni che gestiscono grandi infrastrutture Linux dovrebbero anche effettuare scansioni di sicurezza periodiche e verificare che tutti gli asset siano aggiornati. La scoperta delle vulnerabilità CrackArmor dimostra quanto sia fondamentale mantenere aggiornati i sistemi Linux e rafforzare continuamente i meccanismi di sicurezza del kernel.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
