Les chercheurs de Qualys exposent les failles « CrackArmor » qui permettent à des utilisateurs non privilégiés d’élever leurs privilèges vers root, de rompre l’isolation des conteneurs et de faire planter les systèmes, sans qu’aucun identifiant CVE ne soit encore attribué.
Les chercheurs en sécurité de Qualys ont révélé neuf vulnérabilités dans AppArmor, le module de sécurité Linux activé par défaut dans les distributions Ubuntu, Debian et SUSE.
Un attaquant local non privilégié peut exploiter les failles pour obtenir un accès root complet, briser l’isolement des conteneurs et faire planter les systèmes, le tout sans avoir besoin d’informations d’identification administratives, ont indiqué les chercheurs dans un article de blog.
Surnommées « CrackArmor » par Qualys Threat Research Unit (TRU), ces vulnérabilités existent depuis la version 4.11 du noyau Linux, publiée en 2017. La propre télémétrie de gestion des actifs de Qualys expose la surface d’attaque à plus de 12,6 millions d’instances Linux d’entreprise exécutant AppArmor par défaut, un chiffre qui augmente encore lorsque les clusters Kubernetes, les déploiements IoT et les environnements périphériques sont pris en compte, indique le blog.
« En tant que mécanisme de contrôle d’accès obligatoire par défaut pour Ubuntu, Debian, SUSE et de nombreuses plates-formes cloud, son omniprésence dans les environnements d’entreprise, Kubernetes, IoT et les environnements périphériques amplifie considérablement la surface des menaces », ont écrit les chercheurs dans le blog.
Un défaut de conception fondamental
Au cœur de CrackArmor se trouve ce que Qualys décrit comme un problème de « député confus », une classe de vulnérabilité dans laquelle un processus privilégié est amené à effectuer des actions non autorisées au nom d’un utilisateur non privilégié. Dans l’avis, Qualys l’a comparé à « un intrus convainquant un gestionnaire d’immeuble avec des clés principales d’ouvrir des coffres-forts restreints dans lesquels l’intrus ne peut pas entrer seul ».
En pratique, selon les chercheurs, un compte utilisateur local standard est suffisant pour manipuler les profils de sécurité d’AppArmor – les règles qui régissent ce que les applications individuelles sont autorisées à faire sur un système Linux.
« En acheminant les commandes via des outils système fiables, un attaquant non privilégié peut charger, remplacer ou supprimer entièrement ces profils. Un attaquant peut supprimer les protections des services système critiques, verrouiller tous les utilisateurs hors de l’accès à distance en ciblant le démon SSH, ou contourner les restrictions d’Ubuntu sur les espaces de noms d’utilisateurs non privilégiés, même après la fermeture de toutes les solutions de contournement connues auparavant », indique l’avis.
De la manipulation de profil au shell racine
Le billet de blog détaille une chaîne complète d’élévation de privilèges démontrée sur une installation par défaut d’Ubuntu Server avec le serveur de messagerie Postfix. En chargeant un profil de sécurité spécialement conçu qui bloque une capacité spécifique de suppression de privilèges dans Sudo, les chercheurs ont déclaré avoir forcé Sudo dans une condition d’ouverture en cas d’échec : incapable de supprimer ses privilèges root avant d’invoquer l’agent de messagerie du système, Sudo exécute le processus en tant que root tout en préservant l’environnement de l’attaquant.
Le résultat est une exécution arbitraire de commandes en tant que root, ont écrit les chercheurs.
« Ces résultats révèlent des lacunes critiques dans notre confiance dans les hypothèses de sécurité par défaut », indique le blog. « Cela compromet fondamentalement la confidentialité, l’intégrité et la disponibilité du système à l’échelle mondiale. »
« CrackArmor prouve que même les protections les plus établies peuvent être contournées sans informations d’identification d’administrateur », a déclaré Dilip Bachwani, CTO de Qualys, dans le blog. « Pour les RSSI, cela signifie que l’application de correctifs à elle seule ne suffit pas ; nous devons réexaminer l’ensemble de notre hypothèse sur ce que signifient les configurations « par défaut » pour notre infrastructure. »
Ce n’est pas la première fois que les chercheurs de Qualys découvrent de graves vulnérabilités d’élévation de privilèges dans les composants Linux par défaut. En 2022, la société a révélé deux failles dans Snap, le système de packaging d’applications universel d’Ubuntu, qui permettaient également à un utilisateur peu privilégié d’exécuter du code malveillant en tant que root.
Les bogues au niveau du noyau aggravent le risque
Au-delà du vecteur de manipulation de profil, Qualys a déclaré avoir identifié quatre vulnérabilités au niveau du noyau dans le propre code d’AppArmor. Une faille peut être exploitée pour faire planter l’ensemble du système en forçant un redémarrage, indique l’avis.
Un autre permet à un attaquant de lire la mémoire protégée du noyau, exposant ainsi les adresses internes que les mesures de sécurité sont conçues pour masquer et facilitant ainsi l’exécution des exploits ultérieurs. Deux autres vulnérabilités ont chacune été démontrées comme des chemins indépendants vers un accès root complet, même sur les systèmes avec des atténuations d’exploit modernes activées par défaut, indique le blog.
AppArmor a déjà été cité comme un contrôle clé d’atténuation contre d’autres vulnérabilités Linux. Lorsque la faille d’escalade de privilèges Dirty Pipe a menacé les environnements de conteneurs en 2022, AppArmor faisait partie des mesures de renforcement recommandées pour limiter l’exposition.
Pas de numéros CVE, mais des correctifs sont disponibles
Aucun identifiant CVE n’a été attribué à aucune des neuf vulnérabilités à la date de publication. Le processus d’attribution des CVE du noyau Linux retarde intentionnellement la délivrance des identifiants jusqu’à une à deux semaines après l’arrivée d’un correctif dans une version stable, ont indiqué les chercheurs dans le billet de blog. « Ne laissez pas l’absence de numéro CVE minimiser l’importance », ont écrit les chercheurs dans le blog. « Si vous exécutez des versions concernées, traitez cet avis sérieusement et mettez à jour en conséquence. »
La société a ajouté que des correctifs avaient été publiés dans l’arborescence du noyau en amont de Linus Torvalds le 12 mars, à la suite d’un processus de divulgation coordonné impliquant l’équipe de sécurité d’Ubuntu, les développeurs AppArmor de Canonical, Debian, SUSE et le responsable de Sudo qui s’est étalé sur huit mois. « L’application immédiate de correctifs au noyau reste la priorité non négociable pour neutraliser ces vulnérabilités critiques », ont écrit les chercheurs dans le billet de blog.
