Ошибка 2017 года обнулила защиту Linux

Уязвимость, которая пряталась в Linux почти восемь лет, позволяет обычному пользователю без единого пароля получить полный контроль над сервером. Проблема кроется в механизме безопасности AppArmor — защитнике, который по умолчанию включен в Ubuntu, Debian и SUSE и работает более чем на 12,6 миллиона корпоративных установок. Qualys объединила девять найденных ошибок под названием CrackArmor и бьет тревогу: дыра появилась еще в 2017 году вместе с ядром версии 4.11.

AppArmor — это страж, который не дает приложениям выходить за рамки дозволенного: читать чужие файлы, выполнять опасные команды или повышать права. Именно на него полагаются контейнеры, облачные платформы, Kubernetes и бесчисленное количество встроенных устройств. CrackArmor превращает этого стража в предателя. Через специальные псевдофайлы в каталоге /sys/kernel/security/apparmor/ локальный пользователь может подменять политики безопасности и запускать код прямо в ядре.

Для атаки не нужно ничего, кроме рядовой учетки. Дальше в дело идут доверенные системные инструменты вроде Sudo или Postfix — классическая схема «запутанного заместителя», где привилегированная программа выполняет грязную работу за низкорангового пользователя. В результате злоумышленник получает root-доступ, может выкосить SSH и оставить администраторов за дверью, устроить переполнение стека с перезагрузкой или просто украсть данные из памяти ядра.

Особенно изящно выглядит сценарий с подменой /etc/passwd — фактически хакер становится полноправным хозяином системы. Усугубляет ситуацию массовость AppArmor: он включен по умолчанию в Ubuntu, Debian и SUSE, а значит, под ударом миллионы серверов, контейнеров и облачных инстансов. Qualys уже передала детали разработчикам, но CVE-идентификаторы появятся только через пару недель, когда патчи войдут в стабильную ветку.

Администраторам остается только одно: молиться на своевременные обновления и следить за каталогом /sys/kernel/security/apparmor/. Любая подозрительная возня с профилями — первый звонок, что кто-то уже пытается открыть дверь, запертую восемь лет назад. А пока Qualys держит эксплойты при себе, где-то на миллионах серверов тихо ждет своего часа ошибка 2017 года, которая умеет превращать рядового пользователя в бога.