CrackArmor: dziewięć luk w AppArmor umożliwia eskalację do roota i osłabia izolację kontenerów

Wprowadzenie do problemu / definicja

Badacze bezpieczeństwa ujawnili zestaw dziewięciu podatności nazwanych zbiorczo CrackArmor, które dotyczą mechanizmu AppArmor w jądrze Linuksa. Problem obejmuje błędy klasy confused deputy, w których mniej uprzywilejowany użytkownik lub proces może skłonić komponent bezpieczeństwa do wykonania operacji wykraczających poza zakładany model uprawnień.

W praktyce oznacza to możliwość obejścia części ograniczeń narzucanych przez AppArmor, uzyskania lokalnej eskalacji uprawnień do roota oraz osłabienia zabezpieczeń opartych na izolacji kontenerów. To szczególnie istotne dla organizacji wykorzystujących AppArmor jako jedną z podstawowych warstw ochrony hostów i środowisk kontenerowych.

W skrócie

• CrackArmor obejmuje dziewięć podatności w AppArmor zgłoszonych przez Qualys Threat Research Unit.
• Problem ma dotyczyć jąder Linux od wersji 4.11 na dystrybucjach integrujących AppArmor.
• Luki mogą umożliwiać manipulowanie profilami bezpieczeństwa przez pseudo-pliki i obchodzenie restrykcji user namespace.
• Skutki obejmują lokalną eskalację uprawnień, ataki denial of service, osłabienie hardeningu usług oraz zwiększenie ryzyka naruszenia izolacji kontenerów.

Kontekst / historia

AppArmor to mechanizm Mandatory Access Control oparty na Linux Security Modules, od lat stosowany w celu ograniczania działań procesów przez precyzyjnie zdefiniowane profile bezpieczeństwa. Jest szeroko wykorzystywany w popularnych dystrybucjach, w tym w Ubuntu, Debianie i SUSE, gdzie pełni rolę dodatkowej warstwy kontroli dostępu.

W ostatnich latach AppArmor zyskał także znaczenie jako narzędzie ograniczające użycie nieuprzywilejowanych user namespaces. To ważne, ponieważ funkcja ta była wielokrotnie wykorzystywana jako element łańcuchów prowadzących do eskalacji uprawnień. Właśnie na styku polityk AppArmor, pseudo-plików jądra i obsługi przestrzeni nazw ujawniły się słabości określone jako CrackArmor.

Analiza techniczna

Z technicznego punktu widzenia CrackArmor opisuje klasę błędów logicznych typu confused deputy w sposobie egzekwowania polityk AppArmor. Tego typu wada pojawia się wtedy, gdy uprzywilejowany komponent wykonuje operację w imieniu mniej uprzywilejowanego podmiotu, ale nie weryfikuje poprawnie kontekstu bezpieczeństwa.

W efekcie atakujący może użyć legalnego mechanizmu ochronnego do osiągnięcia rezultatu, którego normalnie nie mógłby uzyskać bezpośrednio. Według ujawnionych analiz nieuprzywilejowany użytkownik może manipulować profilami bezpieczeństwa za pośrednictwem pseudo-plików, co w określonych scenariuszach pozwala zmienić sposób działania ochrony lub całkowicie osłabić jej skuteczność.

Istotny jest również wpływ na user namespaces. o ile system polega na AppArmor jako głównym mechanizmie ograniczającym tworzenie nieuprzywilejowanych przestrzeni nazw użytkownika, obejście tych restrykcji może przywrócić atakującemu dostęp do funkcji jądra często wykorzystywanych w dalszej eksploatacji. To zwiększa powierzchnię ataku i ułatwia budowę bardziej złożonych łańcuchów naruszenia.

Badacze wskazali ponadto na ryzyko ataków typu denial of service, scenariusze prowadzące do wyczerpania stosu oraz odczyty poza buforem, które mogą dostarczać informacji przydatnych do obejścia KASLR. Oznacza to, iż CrackArmor nie jest wyłącznie problemem integralności polityk bezpieczeństwa, ale potencjalnym punktem wspierającym dalszą eksploatację jądra.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem jest lokalna eskalacja uprawnień do roota. W środowiskach wielodostępnych, na hostach deweloperskich, serwerach CI/CD, bastionach oraz platformach kontenerowych oznacza to realne ryzyko pełnego przejęcia systemu. Po uzyskaniu roota atakujący może modyfikować konfigurację, instalować backdoory, wyłączać monitoring i utrzymywać trwały dostęp.

Drugim ważnym obszarem ryzyka jest izolacja kontenerów. jeżeli AppArmor stanowi element modelu separacji obciążeń, obejście jego polityk osłabia zasady least privilege i defense in depth. Nie musi to od razu oznaczać pełnego escape z każdego kontenera, ale znacząco obniża próg trudności dla atakującego.

Istotne pozostaje także ryzyko dla dostępności usług. Możliwość wymuszenia polityk blokujących lub wywołania błędów prowadzących do DoS może przełożyć się na awarie aplikacji, restarty procesów i przerwy w działaniu usług krytycznych. Szczególnie narażone są systemy, w których AppArmor jest aktywny domyślnie, a lokalny dostęp może uzyskać użytkownik nieuprzywilejowany albo proces podatny na zdalne wykonanie kodu.

Rekomendacje

Najważniejszym krokiem jest wdrożenie poprawek jądra dostarczonych przez producenta dystrybucji. W przypadku CrackArmor obejścia tymczasowe nie zapewniają równoważnego poziomu ochrony, dlatego priorytetem powinno być pełne aktualizowanie kernela i pakietów związanych z AppArmor.

• Zidentyfikować hosty, na których AppArmor jest aktywny i egzekwuje profile dla usług lub kontenerów.
• Sprawdzić, czy środowisko korzysta z ograniczeń user namespace opartych na AppArmor.
• Przeanalizować ekspozycję systemów współdzielonych, platform developerskich i hostów kontenerowych.
• Monitorować logi AppArmor, auditd oraz dzienniki jądra pod kątem nietypowych operacji związanych z profilami.
• Ograniczyć lokalny dostęp użytkowników oraz możliwość uruchamiania kodu do czasu pełnego załatania systemów.
• Zweryfikować dodatkowe warstwy ochrony, takie jak seccomp, capabilities oraz zabezpieczenia runtime kontenerów.

Z perspektywy hardeningu warto przyjąć, iż AppArmor nie powinien być jedyną linią obrony. Skuteczna strategia bezpieczeństwa hostów i kontenerów wymaga podejścia wielowarstwowego, w którym obejście pojedynczego mechanizmu nie prowadzi automatycznie do pełnego kompromisu systemu.

Podsumowanie

CrackArmor to ważne przypomnienie, iż choćby mechanizmy ochronne działające na poziomie jądra mogą stać się elementem łańcucha eksploatacji. Dziewięć ujawnionych luk w AppArmor pokazuje, jak groźne bywają błędy logiki w komponentach odpowiedzialnych za egzekwowanie polityk bezpieczeństwa.

Skutki obejmują lokalną eskalację do roota, osłabienie izolacji kontenerów, możliwość ataków DoS oraz ułatwienie dalszej eksploatacji jądra. Organizacje korzystające z AppArmor powinny potraktować ten zestaw podatności priorytetowo, zwłaszcza na hostach wielodostępnych i platformach kontenerowych.

Źródła

1. The Hacker News — https://thehackernews.com/2026/03/nine-crackarmor-flaws-in-linux-apparmor.html
2. AppArmor — Project Documentation — https://apparmor.net/
3. The Linux Kernel Documentation — AppArmor — https://docs.kernel.org/admin-guide/LSM/apparmor.html
4. Ubuntu Security Features — AppArmor unprivileged user namespace restrictions — https://wiki.ubuntu.com/Security/Features
5. Ubuntu Community Hub — Understanding AppArmor User Namespace Restriction — https://discourse.ubuntu.com/t/understanding-apparmor-user-namespace-restriction/58007