(https://i.imgur.com/iu7IRcf.jpeg)
Se han descubierto tres vulnerabilidades en las restricciones de espacios de nombres de usuario sin privilegios en Ubuntu Linux, lo que podría permitir a atacantes locales explotar fallos en el kernel. Estos problemas afectan a Ubuntu 23.10 y 24.04, donde estas restricciones están habilitadas por defecto.
Los espacios de nombres de usuario en Linux permiten actuar como root dentro de un entorno aislado sin privilegios en el sistema host. Ubuntu introdujo restricciones basadas en AppArmor en la versión 23.10 y las activó por defecto en la versión 24.04 para minimizar riesgos. Sin embargo, investigadores de Qualys han identificado tres métodos para eludir estas protecciones.
Métodos de elusión de seguridad en Ubuntu
- Explotación mediante aa-exec: Algunos perfiles de AppArmor, como trinity, chrome o flatpak, permiten la creación de espacios de nombres sin restricciones. Un atacante puede utilizar el comando unshare a través de aa-exec en estos perfiles para aumentar sus privilegios.
- Uso de busybox: El shell de busybox, instalado por defecto en Ubuntu, opera bajo un perfil de AppArmor permisivo que permite la creación de espacios de nombres. Al ejecutarlo con unshare, un usuario sin privilegios puede obtener capacidades administrativas completas.
- Abuso de LD_PRELOAD: Mediante la inyección de una biblioteca compartida personalizada en un proceso confiable (como Nautilus), un atacante puede crear un espacio de nombres privilegiado, evitando las restricciones de AppArmor.
Estas omisiones facilitan la explotación de vulnerabilidades en el kernel, aunque por sí solas no permiten el control total del sistema.
Respuesta y mitigaciones de CanonicalCanonical ha reconocido los hallazgos de Qualys, señalando que no los consideran vulnerabilidades críticas, sino limitaciones de un mecanismo de defensa en profundidad. Por ello, las mejoras en AppArmor se implementarán según el cronograma habitual y no como parches de seguridad urgentes.
Para mitigar estos riesgos, Canonical recomienda:- Habilitar kernel.apparmor_restrict_unprivileged_unconfined=1 para bloquear el abuso de aa-exec.
- Deshabilitar perfiles amplios de AppArmor para busybox y Nautilus.
- Aplicar un perfil más restrictivo de bwrap en aplicaciones que dependen de espacios de nombres.
- Utilizar aa-status para identificar y deshabilitar otros perfiles de riesgo.
Estas medidas pueden reducir el impacto de estas omisiones de seguridad en Ubuntu Linux. Se recomienda a los administradores aplicar las mitigaciones lo antes posible para evitar posibles ataques.
Fuente: https://www.bleepingcomputer.com/