SchwachstellenHackerangriffeContainer-Sicherheit

CrackArmor: Neun kritische Schwachstellen in Linux AppArmor gefährden Root-Sicherheit

CrackArmor: Neun kritische Schwachstellen in Linux AppArmor gefährden Root-Sicherheit
Zusammenfassung

Sicherheitsforscher haben neun kritische Schwachstellen in AppArmor, dem Sicherheitsmodul des Linux-Kernels, aufgedeckt, die unter dem Namen CrackArmor bekannt geworden sind. Diese sogenannten Confused-Deputy-Flaws ermöglichen es unprivilegierten Benutzern, Sicherheitsprofile zu manipulieren, Kernel-Schutzmaßnahmen zu umgehen und bis zur Root-Ebene zu eskalieren. Die von Qualys' Threat Research Unit entdeckten Schwachstellen existieren bereits seit 2017 und betreffen alle Linux-Kernel ab Version 4.11. Besonders besorgniserregend ist die Auswirkung auf Container-Isolierung und Namensraum-Beschränkungen, die in Ubuntu standardmäßig aktiviert sind. Mit über 12,6 Millionen Enterprise-Linux-Instanzen, die AppArmor nutzen, betrifft dieser Fund potenziell eine Vielzahl deutscher Unternehmen, Behörden und Institutionen, die auf Linux-Systemen arbeiten. Die Schwachstellen ermöglichen nicht nur Privilege-Escalation zu Root-Rechten, sondern auch Denial-of-Service-Attacken und die Umgehung von KASLR-Schutzmaßnahmen. Für deutsche Administratoren und IT-Sicherheitsteams ist sofortige Kernel-Aktualisierung essentiell, um vor lokalen Angriffen zu schützen und die Sicherheit containerisierter Anwendungen zu gewährleisten.

AppArmor ist eine zentrale Sicherheitskomponente moderner Linux-Systeme und regelt, welche Ressourcen Anwendungen zugreifen dürfen. Seit der Integration in den Linux-Kernel 2.6.36 schützt das Modul vor bekannten und unbekannten Anwendungsfehlern. Die jetzt offengelegten Schwachstellen untergraben jedoch genau diesen Schutzmechanismus fundamental.

Die neun Lücken gehören zur Klasse der sogenannten „Confused-Deputy”-Schwachstellen. Diese Fehler entstehen, wenn privilegierte Programme von unbefugten Nutzern dazu missbraucht werden, ihre erhöhten Rechte für unbeabsichtigte Aktionen einzusetzen. Im Fall von CrackArmor können Angreifer ohne spezielle Berechtigungen AppArmor-Profile manipulieren, um kritische Service-Schutzmaßnahmen zu deaktivieren oder restriktive „Deny-All”-Richtlinien zu erzwingen.

Besonders kritisch ist die Kombination mehrerer Angriffsvektoren: Durch geschickte Interaktion mit Tools wie Sudo und Postfix können Angreifer zu Root-Rechten eskalieren. Gleichzeitig ermöglichen die Lücken Denial-of-Service-Angriffe durch Stack-Erschöpfung und das Auslesen von Kernel-Adressen (KASLR-Bypass) über Out-of-Bounds-Zugriffe.

Laut Saeed Abbasi, Senior Manager der Qualys Threat Research Unit, erlauben die Flaws unprivilegierten Nutzern zudem, vollständig nutzbare User-Namespaces zu erstellen. Dies hebelt Ubuntus bewährte User-Namespace-Restrictions aus und gefährdet die Isolationsmechanismen von Container-Systemen. Für Organisationen, die auf Container-Technologien setzen, eine erhebliche Gefahr.

Die Auswirkungen sind gravierend: Kompromittierte Systeme ermöglichen Angreifern Credential-Tampering, beispielsweise die unbefugte Änderung von /etc/passwd, oder die Offenlegung von Kernel-Layout-Informationen für weitere Exploits. Qualys gibt vorerst keine Proof-of-Concept-Exploits frei, um Administratoren Zeit für dringende Patches zu geben.

Für deutsche Unternehmen und Behörden bedeutet dies sofortige Handlung: Alle Systeme mit AppArmor müssen auf aktuelle Kernel-Versionen aktualisiert werden. Interim-Maßnahmen bieten keinen adäquaten Schutz. Besondere Aufmerksamkeit verdienen kritische Infrastrukturen, Cloud-Plattformen und Umgebungen mit hohen Sicherheitsanforderungen.

Ähnliche Artikel