近日,安全研究人员披露了Linux内核中AppArmor安全模块的多个高危漏洞。非特权用户可利用这一系列被称为“CrackArmor”的漏洞,绕过内核保护机制,将权限提升至root,甚至破坏容器的隔离性。
Qualys威胁研究部门(TRU)将这九个漏洞统称为“CrackArmor”。据该网络安全公司表示,相关问题自2017年起就已存在,目前尚未分配CVE编号。AppArmor是Linux的一个安全模块,提供强制访问控制(MAC),旨在通过限制应用程序的能力来保护操作系统免受内外部威胁。自Linux内核2.6.36版本起,它已被纳入主线内核。
漏洞技术细节
Qualys TRU高级经理Saeed Abbasi指出,此次披露的是一个“混淆代理”漏洞。它允许非特权用户通过操纵伪文件来修改安全配置文件、绕过用户命名空间的限制,并最终在内核中执行任意代码。
具体而言,这些漏洞通过与Sudo和Postfix等高权限工具的复杂交互,促成从普通用户到root的本地提权。此外,攻击者还能通过耗尽内核堆栈发起拒绝服务攻击,或通过越界读取来绕过内核地址空间布局随机化(KASLR)。混淆代理漏洞的本质,是攻击者诱使或迫使一个拥有特权的程序,滥用其权限去执行非预期的恶意操作。
潜在攻击影响
根据Qualys的分析,不具备执行某项操作权限的攻击者,可以操纵AppArmor配置文件来禁用对关键服务的保护,或强制执行一个“全部拒绝”的策略,从而触发拒绝服务攻击。
更严重的是,结合内核配置文件解析过程中固有的缺陷,攻击者能够绕过用户命名空间的限制,实现完整的root权限本地提权。这种策略操纵会危及整个主机系统,而命名空间绕过则为更高级的内核利用(例如任意内存泄露)铺平了道路。拒绝服务和本地提权能力可能导致服务中断、凭据被篡改,或泄露KASLR信息,为后续的远程攻击创造条件。
最令人担忧的是,CrackArmor漏洞允许非特权用户创建具备完整能力的用户命名空间。这直接绕过了Ubuntu等发行版通过AppArmor实现的用户命名空间限制,使得容器隔离、最小权限执行和服务强化等关键安全机制形同虚设。
修复建议
Qualys表示,为了给用户留出充足的时间打补丁并降低风险,暂不发布针对这些漏洞的概念验证(PoC)利用代码。
此问题影响所有自4.11版本起的Linux内核,任何默认集成并启用了AppArmor的发行版都会受到影响。由于Ubuntu、Debian和SUSE等多个主流发行版默认启用了AppArmor,运行中的企业Linux实例超过1260万台,因此建议立即更新内核补丁以缓解威胁。
Abbasi强调:“立即应用内核补丁仍是解决这些关键漏洞的首要且不可妥协的任务,因为临时的缓解措施无法提供与供应商修复代码相同级别的安全保障。”
参考来源:
Nine CrackArmor Flaws in Linux AppArmor Enable Root Escalation, Bypass Container Isolation
https://thehackernews.com/2026/03/nine-crackarmor-flaws-in-linux-apparmor.html
网络安全事件频发,保持对系统组件漏洞的警惕并及时更新至关重要。对于企业运维和开发者而言,深入理解像AppArmor这样的底层安全机制,是构建稳固防御体系的基础。想了解更多系统与网络安全的前沿动态和深度分析,欢迎持续关注云栈社区。 | 
发表于 13 小时前
|
查看: 6|
回复: 0
