Kritieke AppArmor-lekken maken weg vrij naar root-rechten

AppArmor is een Mandatory Access Control (MAC) raamwerk dat standaard is ingeschakeld op populaire Linux-distributies zoals Ubuntu, Debian en SUSE. Het wordt wereldwijd op grote schaal gebruikt in enterprise-omgevingen, Kubernetes-clusters en cloudplatforms. Volgens Qualys zijn wereldwijd meer dan 12,6 miljoen systemen kwetsbaar door deze ontdekking.

Een "Confused Deputy" aan het front

De CrackArmor-kwetsbaarheden maken gebruik van een zogeheten confused deputy-fout. Hierbij wordt een geprivilegieerd proces (de 'gevolmachtigde') misleid om acties uit te voeren namens een gebruiker zonder rechten. In dit geval kunnen aanvallers via specifieke systeembestanden vertrouwde tools zoals Sudo of Postfix manipuleren om AppArmor-beveiligingsprofielen aan te passen of zelfs te verwijderen.

De impact is verreikend:

• Privilege Escalation: Een gewone gebruiker kan zichzelf root-rechten geven.
• Denial of Service (DoS): Door kwaadaardige profielen te laden of kernel-fouten te triggeren, kan het volledige systeem crashen of onbereikbaar worden.
• Container Breakout: De isolatie tussen verschillende containers in bijvoorbeeld Docker of Kubernetes kan worden doorbroken.

Sinds 2017 onopgemerkt

Onderzoek wijst uit dat de fundamentele fout al sinds 2017 aanwezig is in de Linux-kernel (versie v4.11). Het feit dat deze kwetsbaarheid bijna negen jaar onopgemerkt is gebleven, onderstreept de complexiteit van kernelbeveiliging. "CrackArmor bewijst dat zelfs de meest diepgewortelde beveiligingsmechanismen kunnen worden omzeild zonder admin-gegevens," aldus Dilip Bachwani, CTO van Qualys.

Geopolitieke context en urgentie

De ontdekking komt op een moment van verhoogde digitale spanningen. Qualys waarschuwt dat dit soort kwetsbaarheden precies passen in het draaiboek van staatshackers die gericht zijn op destructieve acties. Omdat AppArmor vaak de laatste verdedigingslinie vormt in kritieke infrastructuur (zoals energie, water en zorg), is het risico op sabotage aanzienlijk.

Wat u moet doen: Direct patchen

Er is momenteel geen alternatieve mitigatie die hetzelfde veiligheidsniveau biedt als een volledige kernel-update. Beheerders van Linux-omgevingen wordt dringend geadviseerd om:

1. Onmiddellijk te patchen: Installeer de nieuwste beveiligingsupdates van uw distributie (Ubuntu, Debian, SUSE, etc.).
2. Systemen te scannen: Identificeer kwetsbare assets binnen uw netwerk.
3. Monitoring te verscherpen: Let op ongebruikelijke wijzigingen in /sys/kernel/security/apparmor/.

Hoewel er op het moment van publicatie nog geen officiële CVE-nummers zijn toegekend — een procedurele vertraging in de Linux-kernel-community — benadrukt Qualys dat dit de ernst van de situatie niet wegneemt.