行業新聞與部落格

Linux 安全模組 AppArmor 中新發現的一系列漏洞可能允許攻擊者獲得 root 許可權，繞過系統保護，並引發數百萬個系統的服務中斷。

這些問題統稱為“CrackArmor”，是由 Qualys 威脅研究部門（TRU）發現的。研究人員確定了自 2017年Linux 核心 4.11 版本以來就存在的九個缺陷。 

由於 AppArmor 在包括 Ubuntu 、 Debian 和 SUSE 在內的廣泛使用的 Linux 發行版中預設啟用，因此其影響範圍很廣。

Qualys 估計，目前有超過 1260 萬個企業級 Linux 系統啟用了 AppArmor 。這些系統通常用於企業基礎設施、雲平臺、 Kubernetes 環境、物聯網 (IoT) 裝置和邊緣部署。

這些漏洞源於一個“混淆代理”缺陷，該缺陷允許非特權本地使用者篡改 AppArmor 安全配置檔案。攻擊者透過利用核心中的偽檔案，可以繞過使用者名稱空間限制並執行任意程式碼。

企業基礎設施可能遭受破壞

攻擊者無需管理員許可權即可利用這些漏洞。據 Qualys 稱，任何能夠讓攻擊者獲得標準本地帳戶的場景都足以使系統被武器化。

研究人員表示，這些漏洞還可能被用來阻止對關鍵服務的訪問，或者使系統徹底崩潰。

潛在影響包括：

• 本地許可權提升（LPE）至 root

• 堆疊耗盡引發的核心崩潰

• 透過篡改安全配置檔案發起拒絕服務 (DoS) 攻擊

• 容器隔離旁路

• 可能因越界讀取而導致核心記憶體暴露

例如，攻擊者可以針對 SSH 等服務載入“拒絕所有”配置檔案，從而阻止合法的遠端連線。

深度巢狀的配置檔案刪除操作也可能耗盡核心堆疊，從而引發核心崩潰和強制重啟。

敦促儘快部署補丁

Qualys 的研究人員表示，他們開發了概念驗證 (POC) 漏洞利用程式來演示這些漏洞，但為了限制未修補系統的風險，尚未公開漏洞利用程式碼。

Qualys 首席技術官 Dilip Bachwani 表示：“這些發現凸顯了我們在依賴預設安全假設方面存在的關鍵缺陷。”

“CrackArmor 證明，即使是最根深蒂固的保護措施，也可以在沒有管理員憑據的情況下被繞過。”

目前尚未分配 CVE 編號，因為影響上游 Linux 核心的漏洞通常只有在修復程式被整合到穩定版本後才會獲得 CVE 編號。儘管如此，Qualys 仍敦促各組織將 Ubuntu 的漏洞安全公告視為緊急事項。

建議安全團隊立即應用廠商核心更新，掃描其環境中的易受攻擊系統，並監控 AppArmor 配置檔案目錄是否存在可疑修改。