Une caractéristique qui était censée durcir le système d’exploitation par le système d’exploitation, disent des chercheurs.
Les administrateurs de Linux qui ont permis à la restriction d’espace d’espace de noms d’utilisateur sans privilégié dans leurs récents environnements Ubuntu devraient prendre des mesures pour fermer trois nouvelles vulnérabilités qui permettent à un acteur de menace de contourner la protection supposée.
Cet avertissement intervient après que les chercheurs de QuADY ont trouvé trois façons différentes de faire que cette caractéristique de durcissement peut, dans certaines circonstances, être contournée.
« Il doit être abordé rapidement », a déclaré Robert Beggs, PDG de la société canadienne de réponse aux incidents, DigitalDence, qui possède plusieurs applications basées sur Ubuntu dans son portefeuille, «parce qu’elle facilite d’autres exploits. En soi, pas un grand nombre de dégâts.»
Jusqu’à présent, a-t-il dit, il n’y a pas d’exploit dans la nature.
Cependant, Johannes Ullrich, doyen de la recherche au Sans Institute, n’est pas aussi préoccupée.
« La vulnérabilité n’est pas très grave en ce qu’elle ne permet pas d’accéder à des privilèges qu’un utilisateur peut avoir sans espaces de noms », a-t-il noté. « Mais cela peut être un problème si un administrateur s’appuie sur des espaces de noms pour une sécurité supplémentaire. »
Ainsi, « il y a peu d’impact de ne pas » corriger « la vulnérabilité », a-t-il déclaré. «Les organisations utilisant des outils de configuration centralisé comme ANSIBL peuvent déployer ces modifications avec des Windows de maintenance régulièrement planifiés ou de redémarrer.»
Fonctionnalités censées améliorer la sécurité
Ironiquement, l’octobre dernier Ubuntu a introduit des fonctionnalités basées sur l’Apparmor pour améliorer la sécurité en réduisant la surface d’attaque à partir d’espaces de noms d’utilisateurs non privilégiés dans le noyau Linux. Cela n’a pas tout à fait fait ça.
« Il s’agit d’une conséquence involontaire où un contrôle de la sécurité a été mis en place, mais il n’est pas entièrement appliqué », a déclaré Beggs, « cela permet donc à quiconque de pousser et de dégénérer ses privilèges. »
Trois contournements
Les espaces de noms d’utilisateurs sans privilégiés sont une fonctionnalité du noyau Linux qui sont censées fournir des fonctionnalités de sable supplémentaires pour des programmes tels que les temps de conteneur, explique Ubuntu. Il permet aux utilisateurs imprimés d’obtenir des autorisations administratrices (racines) dans un environnement confiné, sans leur donner des autorisations élevées sur le système hôte.
Cependant, les espaces de noms d’utilisateurs non privilégiés ont été utilisés à plusieurs reprises pour exploiter les vulnérabilités du noyau, de sorte que la restriction de l’Apparmor ajoutée aux LT Ubuntu 23.10 et 24.04 était censée agir comme une mesure de durcissement de sécurité.
Mais les qualités ont découvert trois contournements différents, chacun permettant à un attaquant local de créer des espaces de noms d’utilisateurs avec des capacités d’administrateur complètes, tout en exploitant toujours des vulnérabilités dans les composants du noyau qui nécessitent des capacités telles que CAP_SYS_ADMIN ou CAP_NET_ADMIN:
- Un attaquant local non privilégié peut simplement utiliser l’outil AA-EXEC (qui est installé par défaut sur Ubuntu) pour passer à l’un des nombreux profils Apparmor préconfigurés qui permettent la création d’espaces de noms d’utilisateurs avec des capacités complètes (par exemple, le Chrome, Flatpak ou le profil Trinité);
- Un attaquant local non privilégié peut d’abord exécuter un shell busybox, qui est installé par défaut sur Ubuntu, et est l’un des programmes dont le profil Apparmor préconfiguré permet de créer des espaces de noms d’utilisateurs avec des capacités complètes.
- Un attaquant local non privilégié peut ld_preload un shell dans l’un des programmes dont le profil Apparmor préconfiguré permet de créer des espaces de noms d’utilisateurs avec des capacités complètes (par exemple, Nautilus est installé par défaut sur Ubuntu Desktop).
Notez qu’une telle contournement permet à un utilisateur improvisé d’obtenir des capacités complètes un espace de noms, et non sur l’hôte à l’extérieur d’un espace de noms.
Pas des vulnérabilités de sécurité, dit Ubuntu
«Ce ne sont pas des vulnérabilités de sécurité», explique Ubuntu dans un blog, «comme les installations d’Ubuntu bénéficient d’une couche supplémentaire de durcissement avec les protections de l’Apparmor, malgré les limitations identifiées (par Qualys).»
«Bien qu’une observation superficielle de l’application des espaces de noms d’utilisateurs puisse indiquer un accès privilégié (niveau racine), il s’agit d’un état fictif qui fonctionne comme prévu, avec un contrôle d’accès étant toujours mappé à l’accès réel (espace de noms racine). Vous cherchez à s’adresser afin de renforcer les protections existantes contre les vulnérabilités du noyau Linux en tant qu’avoir. »
Ubuntu dit que les administrateurs des versions après la version 23.10 peuvent appliquer d’autres étapes de durcissement pour atténuer les deux premiers contournements; Ceux-ci seront activés par défaut dans les futures versions.
Action recommandée
Beggs recommande à Sysadmins:
- Assurez-vous que leurs installations Ubuntu sont entièrement corrigées;
- Modifiez le paramètre du noyau Linux pour limiter les modifications de profil sans privilège. Faites cela en s’assurant que le paramètre est activé;
- restreindre le profil Apparmor. Ubuntu est expédié avec des profils non confinés par défaut pour plusieurs applications qui permettent la création d’espaces de noms d’utilisateurs.
