行业新闻与博客

Linux 安全模块 AppArmor 中新发现的一系列漏洞可能允许攻击者获得 root 权限，绕过系统保护，并引发数百万个系统的服务中断。

这些问题统称为“CrackArmor”，是由 Qualys 威胁研究部门（TRU）发现的。研究人员确定了自 2017年Linux 内核 4.11 版本以来就存在的九个缺陷。 

由于 AppArmor 在包括 Ubuntu 、 Debian 和 SUSE 在内的广泛使用的 Linux 发行版中默认启用，因此其影响范围很广。

Qualys 估计，目前有超过 1260 万个企业级 Linux 系统启用了 AppArmor 。这些系统通常用于企业基础设施、云平台、 Kubernetes 环境、物联网 (IoT) 设备和边缘部署。

这些漏洞源于一个“混淆代理”缺陷，该缺陷允许非特权本地用户篡改 AppArmor 安全配置文件。攻击者通过利用内核中的伪文件，可以绕过用户命名空间限制并执行任意代码。

企业基础设施可能遭受破坏

攻击者无需管理员权限即可利用这些漏洞。据 Qualys 称，任何能够让攻击者获得标准本地帐户的场景都足以使系统被武器化。

研究人员表示，这些漏洞还可能被用来阻止对关键服务的访问，或者使系统彻底崩溃。

潜在影响包括：

• 本地权限提升（LPE）至 root

• 堆栈耗尽引发的内核崩溃

• 通过篡改安全配置文件发起拒绝服务 (DoS) 攻击

• 容器隔离旁路

• 可能因越界读取而导致内核内存暴露

例如，攻击者可以针对 SSH 等服务加载“拒绝所有”配置文件，从而阻止合法的远程连接。

深度嵌套的配置文件删除操作也可能耗尽内核堆栈，从而引发内核崩溃和强制重启。

敦促尽快部署补丁

Qualys 的研究人员表示，他们开发了概念验证 (POC) 漏洞利用程序来演示这些漏洞，但为了限制未修补系统的风险，尚未公开漏洞利用代码。

Qualys 首席技术官 Dilip Bachwani 表示：“这些发现凸显了我们在依赖默认安全假设方面存在的关键缺陷。”

“CrackArmor 证明，即使是最根深蒂固的保护措施，也可以在没有管理员凭据的情况下被绕过。”

目前尚未分配 CVE 编号，因为影响上游 Linux 内核的漏洞通常只有在修复程序被整合到稳定版本后才会获得 CVE 编号。尽管如此，Qualys 仍敦促各组织将 Ubuntu 的漏洞安全公告视为紧急事项。

建议安全团队立即应用厂商内核更新，扫描其环境中的易受攻击系统，并监控 AppArmor 配置文件目录是否存在可疑修改。