ثغرات CrackArmor تهدد AppArmor وترفع الصلاحيات

ثغرات CrackArmor في AppArmor كشفت مساراً لرفع الصلاحيات على لينكس منذ 2017، ما يهدد العزل في الحاويات وأمان الأنظمة بشكل مباشر.

ما هي ثغرات CrackArmor في AppArmor؟

تشير الثغرات التسع التي حملت اسم CrackArmor إلى خلل من نوع confused deputy داخل وحدة AppArmor في نواة Linux، وقد ظلت موجودة منذ 2017 دون معرفات CVE. وفقاً لتحليل تيكبامين، يسمح الخلل لمستخدم غير مميز بالتلاعب بملفات البروفايل شبه النظامية لتجاوز القيود.

AppArmor نظام تحكم إلزامي بالوصول MAC يحد من قدرات التطبيقات ويعزز الحماية على الخوادم وأجهزة سطح المكتب، وهو مدمج في النواة منذ 2.6.36. أي خلل في آلية تفسير السياسات يمكن أن يفتح الباب أمام تنفيذ أوامر بامتيازات أعلى.

كيف تعمل ثغرات confused deputy؟

في سيناريو confused deputy، يستغل المهاجم الثقة الممنوحة لأداة ذات صلاحيات أعلى لتنفيذ أوامر نيابة عنه. النتيجة أن أداة شرعية تقوم بخطوات لم يقصد بها المصممون.

• التحكم بملفات pseudo الخاصة بالسياسات.
• تجاوز قيود user namespace عبر تلاعب البروفايلات.
• تنفيذ تعليمات داخل النواة أو كشف الذاكرة.

لماذا ترفع ثغرات CrackArmor الصلاحيات إلى root؟

الاستغلال يعتمد على التفاعل المعقد بين AppArmor وأدوات مثل sudo وPostfix، ما يسمح بتمرير سياسات معدلة تؤدي إلى رفع الصلاحيات إلى root. بعض الثغرات تسمح بقراءات خارج الحدود داخل النواة، ما يسهّل تسريب الذاكرة وتجاوز KASLR.

مسارات الاستغلال الشائعة

• إعادة تحميل سياسات معدلة عبر أدوات النظام.
• استغلال تفاعل sudo مع قواعد غير متوقعة.
• إرهاق المكدس للتسبب في تعطيل الخدمة DoS.

وتشير التحليلات إلى أن بعض المسارات تسمح باستنزاف المكدس داخل النواة، ما ينتج عنه أعطال يصعب رصدها. هذا النوع من الهجمات قد يوقف خدمات البريد أو المصادقة لفترات قصيرة لكنها مؤثرة.

عند نجاح الاستغلال، يمكن للمهاجم تعديل /etc/passwd أو تعطيل خدمات حرجة، كما قد يؤدي ذلك إلى انقطاع مؤقت في الأنظمة الإنتاجية.

كيف تؤثر على عزل الحاويات في لينكس؟

الثغرات تقوض العزل في الحاويات لأن AppArmor يُستخدم لتقييد user namespaces في توزيعات مثل Ubuntu. CrackArmor تتيح إنشاء user namespaces كاملة القدرات حتى للمستخدمين العاديين، ما يقوّض مبدأ أقل صلاحية.

هذا يعني أن حاوية يفترض أنها محدودة قد تمتلك قدرات مشابهة للمضيف، وهو خطر واضح في بيئات Kubernetes والسحابة متعددة المستأجرين. كما أن تجاوز قيود user namespace قد يفتح المجال لسلاسل استغلال لاحقة عند توفر ثغرات أخرى.

• تجاوز عزل الحاويات والوصول إلى موارد المضيف.
• تعطيل خدمات عبر سياسات منع شاملة.
• كشف KASLR لتسهيل استغلالات إضافية.
• تعديل بيانات الاعتماد عبر ملفات النظام.

ما الذي يجب أن تفعله المؤسسات الآن؟

تنصح تيكبامين مسؤولي الأنظمة بمتابعة تحديثات النواة وتطبيق التصحيحات فور صدورها، مع مراجعة قواعد AppArmor الحالية. كما يفيد تقليل الامتيازات وقيود sudo في تقليص سطح الهجوم.

• تحديث Linux kernel وAppArmor عند توفر التصحيحات.
• تدقيق بروفايلات الخدمات الحساسة وتوحيدها.
• تعطيل user namespaces غير الضرورية في الخوادم.
• مراقبة السجلات والتنبيهات بحثاً عن أنماط مشبوهة.

خلاصة القول، ثغرات CrackArmor تضع أمن لينكس أمام اختبار جدي، لذا يجب التحرك سريعاً لتحديث الأنظمة وتحصين سياسات العزل قبل توسع الاستغلال.