Investigadores de Qualys han descubierto un conjunto de nueve vulnerabilidades en AppArmor, la capa de seguridad integrada de Linux, que afectan a más de 12 millones de sistemas empresariales en todo el mundo.
Los investigadores de la Unidad de Investigación de Amenazas de la compañía informaron que estas fallas permiten a usuarios locales no privilegiados eludir las protecciones del kernel, escalar a privilegios de root y debilitar el aislamiento de contenedores.
Cabe destacar que estas vulnerabilidades existen desde 2017 y afectan a más de 12.6 millones de instancias de Linux empresariales en todo el mundo; cualquier organización que ejecute Ubuntu, Debian o SUSE se verá afectada, según Qualys.
Las industrias más afectadas probablemente incluirán la computación en la nube, la banca y las finanzas, la manufactura, la atención médica, las telecomunicaciones y el gobierno.
AppArmor es un módulo de seguridad de Linux que proporciona control de acceso obligatorio (MAC) al aplicar perfiles a las aplicaciones. Ha sido parte del kernel principal de Linux desde la versión 2.6.36.
“Como el mecanismo de control de acceso obligatorio predeterminado para Ubuntu, Debian, SUSE y numerosas plataformas en la nube, su ubicuidad en entornos empresariales, Kubernetes, IoT y entornos perimetrales amplifica significativamente la superficie de ataque”, advirtió Saeed Abbasi, gerente sénior de la Unidad de Investigación de Amenazas de Qualys, en un asesoramiento.
¿Qué necesitan saber los usuarios de Linux sobre “CrackArmor”?
Denominadas “CrackArmor”, las vulnerabilidades son fallas de confusión de delegado que permiten a los usuarios no privilegiados manipular los perfiles de seguridad a través de archivos pseudo, omitir las restricciones del espacio de nombres de usuario y ejecutar código arbitrario dentro del kernel.
Estas fallas facilitan la escalada de privilegios local a root a través de interacciones complejas con herramientas como Sudo y Postfix, junto con ataques de denegación de servicio a través de agotamiento de la pila y omisiones de la aleatorización del diseño del espacio de direcciones del kernel (KASLR) a través de lecturas fuera de límites.
“En consecuencia, estos hallazgos exponen brechas críticas en nuestra dependencia de los supuestos de seguridad predeterminados”, dijo Abbasi. “Esto socava fundamentalmente la confidencialidad, la integridad y la disponibilidad del sistema a nivel mundial, extendiendo la ventana de explotación de vulnerabilidades para implementaciones heredadas.”
Qualys dijo que ha desarrollado Pruebas de Concepto (PoC) que demuestran la cadena de explotación completa de las vulnerabilidades CrackArmor. Estos, junto con exploits funcionales, se han compartido con el equipo de seguridad para trabajar en la remediación inmediata.
Si bien la empresa se abstiene de publicar el código de explotación al público por el momento, la naturaleza técnica de las fallas permite la validación independiente por parte de la comunidad de seguridad, según indicó.
Todavía no hay CVE, lo que puede tardar un par de semanas más para los problemas del kernel upstream. Sin embargo, Abbasi advirtió a las empresas que no subestimen los riesgos potenciales.
“No permita que la ausencia de un número de CVE disminuya la importancia. Si está ejecutando versiones afectadas, trate este aviso con seriedad y actualice en consecuencia.”
¿Qué pueden hacer las empresas?
Las vulnerabilidades de CrackArmor se alinean directamente con el plan de juego operativo de los actores de amenazas patrocinados por el estado, cuyas campañas priorizan constantemente la destrucción por encima del espionaje.
Estos grupos han intensificado los ataques contra los sectores de energía, agua, atención médica y defensa en los últimos años.
“CrackArmor reduce drásticamente la barrera para la interrupción catastrófica”, dijo Abbasi.
“Un atacante ya no necesita credenciales de administrador ni movimiento lateral para causar daños graves; cualquier vector de acceso inicial rutinario que produzca una cuenta local no privilegiada es ahora suficiente para armar instantáneamente el host, lo que desencadena un pánico del kernel o niega todo el tráfico.”
Como tal, las organizaciones deben tratar esto como un evento de parcheo prioritario. Qualys también delineó una serie de pasos que los equipos de seguridad deben tomar. Estos incluyen:
- Aplicar las actualizaciones del kernel del proveedor inmediatamente
- Escanear en busca de exposición utilizando QID de detección
- Implementar el monitoreo en /sys/kernel/security/apparmor/ para modificaciones de perfil no autorizadas
SIGA NUESTRAS REDES SOCIALES
Asegúrese de seguir a ITPro en Google News para estar al tanto de todas nuestras últimas noticias, análisis y reseñas.
También puede seguir a ITPro en LinkedIn, X, Facebook, y BlueSky.
TEMAS
