Wykryto trzy możliwości obejścia zabezpieczeń w Ubuntu Linux

Wykryte problemy pozwalają lokalnym użytkownikom nieuprzywilejowanym na tworzenie przestrzeni nazw użytkowników z pełnymi uprawnieniami administracyjnymi i dotyczą wersji Ubuntu 23.10, w których ograniczenia przestrzeni nazw użytkowników nieuprzywilejowanych są włączone, oraz 24.04, w której są one domyślnie aktywne.

Przestrzenie nazw użytkowników w Linuksie pozwalają zwykłym userom działać jako root w odizolowanym sandboxie bez posiadania takich samych uprawnień na hoście. Ubuntu dodało ograniczenia oparte na AppArmor w wersji 23.10 i domyślnie włączyło je w wersji 24.04, aby ograniczyć ryzyko niewłaściwego użycia przestrzeni nazw i wspomnianych słabości systemu.

Specjaliści z firmy Qualys zajmującej się bezpieczeństwem i zgodnością odkryli, że wspomniane ograniczenia można ominąć na trzy różne sposoby.

„Qualys TRU odkryło trzy różne obejścia ograniczeń przestrzeni nazw, z których każde umożliwia lokalnym atakującym tworzenie przestrzeni nazw użytkowników z pełnymi uprawnieniami administracyjnymi” – twierdzą specjaliści.

Odkrywcy podatności zauważają, że obejścia są niebezpieczne w połączeniu z lukami związanymi z jądrem systemu i nie wystarczają do uzyskania pełnej kontroli.

Qualys podaje szczegóły techniczne dotyczące trzech metod, które podsumowano w następujący sposób:

• Obejście za pomocą aa-exec: Użytkownicy mogą wykorzystać narzędzie aa-exec, które umożliwia uruchamianie programów w określonych profilach AppArmor. Niektóre z tych profili – takie jak trinity, chrome lub flatpak – są skonfigurowane tak, aby umożliwiać tworzenie przestrzeni nazw użytkowników z pełnymi uprawnieniami. Używając polecenia unshare przez aa-exec w ramach jednego ze wspomnianych profili, użytkownik bez uprawnień może ominąć ograniczenia przestrzeni nazw i zwiększyć uprawnienia.
• Obejście przez busybox: Powłoka busybox, instalowana domyślnie zarówno na Ubuntu Server, jak i Desktop, jest powiązana z profilem AppArmor, który również zezwala na nieograniczone tworzenie przestrzeni nazw użytkownika. Atakujący może uruchomić powłokę przez busybox i użyć jej do wykonania unshare, pomyślnie tworząc przestrzeń nazw użytkownika z pełnymi uprawnieniami administracyjnymi.
• Obejście przez LD_PRELOAD: Ta technika wykorzystuje zmienną środowiskową LD_PRELOAD dynamicznego linkera, aby wstrzyknąć niestandardową bibliotekę współdzieloną do zaufanego procesu. Wstrzykując powłokę do programu takiego jak Nautilus – który ma wysoce uprawiony profil AppArmor – atakujący może uruchomić uprzywilejowaną przestrzeń nazw z poziomu tego procesu, omijając zamierzone ograniczenia.

Qualys powiadomił zespół ds. bezpieczeństwa Ubuntu o swoich ustaleniach 15 stycznia i zgodził się na skoordynowane wydanie. Obejście busybox zostało jednak odkryte niezależnie przez innego specjalistę Roddux, który opublikował szczegóły 21 marca.

Canonical, organizacja stojąca za Ubuntu Linux, potwierdziła ustalenia Qualys i powiadomiła, że opracowuje ulepszenia zabezpieczeń AppArmor.

Rzecznik Ubuntu wyjaśnił, że firma nie traktuje tych doniesień jako typowych podatności w zabezpieczeniach systemu, ale jako ograniczenia mechanizmu obrony dogłębnej. W związku z tym poprawki będą udostępniane zgodnie ze standardowymi harmonogramami wydań, a nie jako pilne łatki bezpieczeństwa.

W biuletynie opublikowanym na oficjalnym forum dyskusyjnym (Ubuntu Discourse) udostępniono następujące kroki, których podjęcie powinni rozważyć administratorzy:

• Użyj aa-status, aby zidentyfikować i wyłączyć inne ryzykowne profile.
• Włącz kernel.apparmor_restrict_unprivileged_unconfined=1, aby zablokować nadużycia aa-exec. (domyślnie nie jest włączone).
• Wyłącz szerokie profile AppArmor dla busybox i Nautilus, które umożliwiają tworzenie przestrzeni nazw.
• Opcjonalnie zastosuj bardziej rygorystyczny profil bwrap AppArmor dla aplikacji takich jak Nautilus, które polegają na przestrzeniach nazw użytkownika.