CrackArmor: AppArmor-Lücken erlauben Root-Rechte und Container-Bypass : Neun Schwachstellen im Linux-Sicherheitsmodul gefährden Isolation, Kernel-Schutz und Zugriffskontrollen
Ein Forschungsteam hat neun gravierende Sicherheitslücken im Linux-Sicherheitsmodul AppArmor entdeckt. Die Schwachstellen erlauben lokalen Angreifern ohne Privilegien, Kernel-Schutzmechanismen zu umgehen, Root-Rechte zu erlangen und Container-Isolation auszuhebeln. Besonders kritisch ist die Kombination aus Policy-Manipulation und Kernel-Fehlern.
Cybersecurity-Analysten der Qualys Threat Research Unit (TRU) haben insgesamt neun Sicherheitslücken im Linux-Kernel-Modul AppArmor identifiziert. Die Schwachstellen tragen gemeinsam den Namen CrackArmor und betreffen Kernel-Versionen seit Version 4.11. Nach Angaben der Experten existiert das zugrunde liegende Problem bereits seit dem Jahr 2017.
AppArmor ist ein Linux-Sicherheitsmodul für Mandatory Access Control (MAC). Es soll verhindern, dass Anwendungen über ihre vorgesehenen Rechte hinaus auf Systemressourcen zugreifen. Das Modul ist seit Version 2.6.36 Bestandteil des Linux-Kernels und wird standardmäßig in mehreren großen Distributionen eingesetzt, darunter Ubuntu, Debian und SUSE.
Nach Schätzungen laufen derzeit mehr als 12,6 Millionen Enterprise-Linux-Instanzen mit aktivem AppArmor.
Confused-Deputy-Angriffe auf Sicherheitsprofile
Die Sicherheitslücken öffnen einen Weg, um ein privilegiertes Programm dazu zu bringen, seine eigenen Rechte missbräuchlich für einen Angreifer einzusetzen. Saeed Abbasi, Senior Manager der Qualys Threat Research Unit, beschreibt das Problem so: „Diese CrackArmor-Sicherheitswarnung beschreibt eine sogenannte Confused-Deputy-Schwachstelle. Dadurch können Nutzer ohne besondere Systemrechte Sicherheitsprofile über Pseudodateien manipulieren, Beschränkungen von Benutzer-Namensräumen umgehen und schließlich beliebigen Code direkt im Kernel ausführen.“
Angreifer können demnach AppArmor-Profile gezielt verändern. Dadurch lassen sich Sicherheitsrichtlinien außer Kraft setzen oder gezielt blockierende Regeln aktivieren.
Root-Eskalation und Denial-of-Service möglich
Die Manipulation der Sicherheitsprofile hat mehrere gravierende Folgen. Angreifer können privilegierte Systemwerkzeuge missbrauchen und so ihre Rechte erweitern. Nach Angaben der Experten entstehen durch die komplexen Wechselwirkungen mit Systemdiensten mehrere Angriffswege:
- Lokale Privilegieneskalation zu Root, unter anderem über Interaktionen mit Sudo oder Postfix
- Denial-of-Service-Angriffe durch Stack-Erschöpfung
- Umgehung der Kernel Address Space Layout Randomization (KASLR) durch Out-of-Bounds-Lesezugriffe
„Diese Schwachstellen ermöglichen eine lokale Eskalation zu Root über komplexe Interaktionen mit Werkzeugen wie Sudo und Postfix. Gleichzeitig sind Denial-of-Service-Angriffe durch Stack-Erschöpfung sowie eine Umgehung der Kernel Address Space Layout Randomization durch Out-of-Bounds-Lesezugriffe möglich“, erklärt Abbasi dazu.
Gefährdung der Container-Isolation
Besonders kritisch ist der Effekt auf moderne Linux-Containerumgebungen. Durch die Schwachstellen können Angreifer Sicherheitsgarantien umgehen, die normalerweise durch AppArmor erzwungen werden.
Qualys erklärte, dass Angreifer auch ohne ausreichende Berechtigungen AppArmor-Profile manipulieren können. Dadurch lassen sich wichtige Schutzmechanismen von Systemdiensten deaktivieren oder extrem restriktive Richtlinien erzwingen, die sämtliche Zugriffe blockieren. In beiden Fällen können Denial-of-Service-Angriffe ausgelöst werden.
„In Kombination mit Schwachstellen im Kernel, die beim Einlesen der Sicherheitsprofile auftreten, können Angreifer außerdem die Einschränkungen von User Namespaces umgehen und sich lokale Administratorrechte bis hin zu vollständigem Root-Zugriff verschaffen“, so das Unternehmen.
„Die Manipulation von Sicherheitsrichtlinien kann das gesamte System kompromittieren. Gleichzeitig ermöglicht die Umgehung von Namespaces fortgeschrittene Kernel-Angriffe, etwa das Auslesen sensibler Speicherbereiche. Denial-of-Service-Angriffe und Privilegieneskalation können zu Dienstausfällen führen, Zugangsdaten manipulieren – etwa durch Änderungen an der Datei /etc/passwd – oder Informationen über die Speicherstruktur des Kernels preisgeben. Diese Informationen können wiederum in weiterführenden Exploit-Ketten für Remote-Angriffe eingesetzt werden.“
Besonders problematisch ist laut Qualys, dass CrackArmor es Nutzern ohne besondere Rechte ermöglicht, vollständig funktionsfähige User Namespaces zu erstellen. Damit lassen sich die von Ubuntu über AppArmor vorgesehenen Einschränkungen umgehen. Gleichzeitig werden zentrale Sicherheitsmechanismen wie Container-Isolation, das Prinzip minimaler Rechte und die Härtung wichtiger Systemdienste unterlaufen.
Sofortige Kernel-Updates unabdingbar
Die Sicherheitslücken betreffen alle Linux-Kernel ab Version 4.11 auf Distributionen, die AppArmor integrieren. Da mehrere große Distributionen das Modul standardmäßig aktivieren, ist die potenzielle Angriffsfläche entsprechend groß.
Um Administratoren Zeit für Sicherheitsupdates zu geben, veröffentlichten die Forscher bewusst keine Proof-of-Concept-Exploits.
Abbasi betont die Dringlichkeit von Updates: „Sofortige Kernel-Patches bleiben die nicht verhandelbare Priorität, um diese kritischen Schwachstellen zu neutralisieren. Übergangslösungen bieten nicht das gleiche Sicherheitsniveau wie die Wiederherstellung des vom Hersteller korrigierten Codepfads.“
Für Unternehmen bedeutet dies vor allem eines: Systeme mit aktiviertem AppArmor müssen sofort aktualisiert werden, um Root-Eskalation, Container-Ausbrüche und mögliche Kernel-Exploits zu verhindern.