Bei den neun Schwachstellen handelt es sich nach Einordnung von Qualys um sogenannte Confused-Deputy-Schwachstellen. Diese treten auf, wenn ein privilegiertes Programm von einem unberechtigten Nutzer dazu gebracht wird, seine Rechte für unbeabsichtigte, bösartige Aktionen zu missbrauchen. Im Kern wird dabei das Vertrauen in ein höher privilegiertes Werkzeug ausgenutzt, um einen Befehl auszuführen, der zur Rechteausweitung führt.
“Dieses CrackArmor-Advisory legt eine Confused-Deputy-Schwachstelle offen, die es unprivilegierten Nutzern erlaubt, Sicherheitsprofile über Pseudo-Dateien zu manipulieren, Beschränkungen von User-Namespaces zu umgehen und beliebigen Code im Kernel auszuführen”, erklärte Saeed Abbasi, Senior Manager bei Qualys TRU. Die Fehler ermöglichten eine lokale Rechteausweitung bis zum Root-Konto über komplexe Wechselwirkungen mit Werkzeugen wie Sudo und Postfix. Hinzu kämen Denial-of-Service-Angriffe durch Stack-Erschöpfung sowie das Umgehen der Kernel Address Space Layout Randomization (KASLR) über Out-of-Bounds-Lesezugriffe.
Laut Qualys kann eine Instanz, die eigentlich keine Berechtigung für eine Aktion besitzt, AppArmor-Profile so manipulieren, dass kritische Dienstschutzmaßnahmen deaktiviert oder Deny-all-Richtlinien erzwungen werden, was Denial-of-Service-Angriffe auslöst. In Verbindung mit Fehlern beim Parsen der Profile auf Kernel-Ebene ließen sich die Beschränkungen von User-Namespaces umgehen und die volle Root-Rechteausweitung erreichen.
Die Manipulation der Richtlinien kompromittiere den gesamten Host, während das Umgehen der Namespaces fortgeschrittene Kernel-Exploits wie das Auslesen beliebiger Speicherbereiche erleichtere. Als mögliche Folgen nennt Qualys Dienstausfälle, das Manipulieren von Anmeldedaten über einen passwortlosen Root-Zugang – etwa durch Änderung der Datei /etc/passwd – sowie das Offenlegen von KASLR-Informationen, das weitere Exploit-Ketten ermöglicht.
Erschwerend kommt nach Darstellung des Unternehmens hinzu, dass CrackArmor es unprivilegierten Nutzern erlaubt, vollwertige User-Namespaces zu erzeugen. Damit lassen sich die über AppArmor umgesetzten Namespace-Beschränkungen von Ubuntu umgehen und zentrale Sicherheitsgarantien wie Container-Isolation, die Durchsetzung des Least-Privilege-Prinzips und die Härtung von Diensten unterlaufen.
Qualys hält die Veröffentlichung von Proof-of-Concept-Exploits vorerst zurück, um Nutzern Zeit zu geben, Patches einzuspielen und das Risiko zu verringern. Abbasi betonte, dass das umgehende Einspielen von Kernel-Patches die nicht verhandelbare Priorität bleibe, da vorläufige Gegenmaßnahmen nicht dasselbe Maß an Sicherheit böten wie die Wiederherstellung des vom Hersteller korrigierten Code-Pfads.
