Die Qualys Threat Research Unit (TRU) gab heute bekannt, dass sie „CrackArmor“ entdeckt hat, eine Reihe von neun Schwachstellen in AppArmor, einem weit verbreiteten Sicherheitsmodul im Linux-Kernel. Diese Schwachstellen haben seit 2017 über 12 Millionen Unternehmenssysteme, auf denen Ubuntu-, Debian- und SUSE-Distributionen laufen, angreifbar gemacht, sodass lokale Angreifer vollständigen Root-Zugriff erlangen, Container-Ausbrüche ausführen und systemweite Abstürze verursachen können.
Die CrackArmor-Sicherheitslücken nutzen eine „Confused Deputy”-Schwachstelle aus, die ein vertrauenswürdiges Programm mit höheren Berechtigungen dazu manipuliert, seine Befugnisse zu missbrauchen. Angreifer können Systemprozesse dazu verleiten, böswillige Aktionen in ihrem Namen auszuführen, wodurch sie Sicherheitskontrollen effektiv umgehen und sich unbefugten Zugriff verschaffen oder Berechtigungen eskalieren können, ohne dass sie über Administratorrechte verfügen müssen.
Die Entdeckung verdeutlicht ein erhebliches Risiko für zahlreiche Branchen. Zu den am stärksten betroffenen Branchen gehören Cloud Computing, Bank- und Finanzwesen, Fertigung, Gesundheitswesen und Behörden.
„Diese Entdeckungen zeigen kritische Lücken in der Art und Weise auf, wie wir uns auf Standard-Sicherheitsannahmen verlassen“, sagte Dilip Bachwani, Chief Technology Officer bei Qualys. „CrackArmor beweist, dass selbst die am besten etablierten Schutzmaßnahmen ohne Administratoranmeldedaten umgangen werden können. Für CISOs bedeutet dies, dass Patches allein nicht ausreichen. Wir müssen unsere gesamte Annahme darüber, was „Standardkonfigurationen“ für unsere Infrastruktur bedeuten, überdenken.“
Die Forscher von Qualys haben festgestellt, dass die einzige zuverlässige Methode zur Minderung der CrackArmor-Schwachstellen das sofortige Patchen des Kernels ist. Unternehmen werden dringend aufgefordert, die erforderlichen Sicherheitsupdates zu installieren, um ihre Systeme vor potenziellen Angriffen zu schützen.
Im Einklang mit dem Prozess der verantwortungsvollen Offenlegung hat das Qualys TRU-Team mehrere Monate lang mit den Upstream-Maintainern koordiniert und kommuniziert, um sicherzustellen, dass die Korrekturen vor der öffentlichen Veröffentlichung für alle Linux-Distributionen robust und stabil sind. Qualys arbeitet weiterhin mit der Community zusammen, um diese kritischen Sicherheitsprobleme zu beheben.