L’azienda di sicurezza Qualys ha annunciato la scoperta di tre distinte modalità che consentirebbero di aggirare i controlli standard della distribuzione Ubuntu e che riguardano i Namespace non privilegiati del Kernel Linux.
I Namespace, per chi non lo sapesse, sono una componente nativa del Kernel Linux e rappresentano la base del funzionamento dei container. I Namespace sono il “recinto” che, unito ai CGroups (Control Groups) che determinano quante e quali risorse sono accessibili, formano la struttura all’interno della quale l’immagine del container viene creata per lanciare il suo eseguibile.
Incredibile a dirsi, ma in fondo l’intero web si basa su nient’altro che processi isolati.
Tornando alle vulnerabilità, la maggior parte delle distribuzioni Linux consente agli utenti non privilegiati di creare Namespace nei quali ottengono effettivamente pieni diritti amministrativi. Il problema è che questo espande significativamente la superficie di attacco del Kernel quando vengono scoperte nuove vulnerabilità, poiché possono essere sfruttate dagli utenti non privilegiati.
Ubuntu gestisce questi rischi in maniera proattiva, impedendo agli utenti non privilegiati di acquisire funzionalità all’interno dei Namespace, utilizzando diversi metodi, tra cui il sistema integrato di sicurezza AppArmor.
I bypass che sono stati rilevati sono descritti presso questa url e nello specifico riguardano:
- Bypass via aa-exec
- Bypass via busybox
- Bypass via LD_PRELOAD
Le modalità di attacco vengono descritte nel dettaglio come segue:
- Un attaccante locale senza privilegi può usare lo strumento aa-exec (che ricordiamo è installato di default su Ubuntu) per passare a uno dei tanti profili AppArmor preconfigurati che permettono la creazione di Namespace utente con privilegi completi (ad esempio, i profili di Chrome, Flatpak o Trinity).
- Un attaccante locale senza privilegi può eseguire una shell di BusyBox, che è installata di default su Ubuntu e ha un profilo AppArmor preconfigurato che consente la creazione di Namespace utente con privilegi completi.
- Un attaccante locale senza privilegi può caricare (tramite LD_PRELOAD) una shell in uno dei programmi con un profilo AppArmor preconfigurato che permette la creazione di namespace utente con privilegi completi (ad esempio, Nautilus, che è installato di default su Ubuntu Desktop).
Esempi specifici di applicazione di queste vulnerabilità sono disponibili nella pagina di dettaglio. Si capisce come la questione, per quanto non di semplicissima realizzazione pratica, sia comunque seria.
Canonical è al corrente del problema ed ha già pubblicato all’interno della propria piattaforma Discourse le indicazioni sulle mitigazioni. L’unica soluzione al momento è quindi agire manualmente sui sistemi.
La problematica riguarda tutte le versioni di Ubuntu dalla 24.04 in avanti, quindi è consigliato un controllo su tutti i sistemi interessati!
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
English (US)