كشف باحثون أمنيون من وحدة أبحاث التهديدات في شركة Qualys عن مجموعة من تسع ثغرات أمنية حرجة داخل الوحدة الأمنية AppArmor في نواة نظام لينكس. أُطلقت على هذه الثغرات مجتمعة اسم "CrackArmor"، وتمثل نقاط ضعف من نوع "الوكيل المُربَك" (Confused Deputy)، والتي يمكن أن تسمح للمستخدمين المحليين غير المميزين بتجاوز حماية النواة، وتصعيد صلاحياتهم إلى مستوى المستخدم الجذر (root)، وتقويض ضمانات العزل في البيئات المحتواة. وفقًا لـ Qualys، فإن هذه الثغرات موجودة في قاعدة الكود منذ عام 2017، على الرغم من أنه لم يتم تعيين معرفات CVE فردية للقضايا في هذا الوقت.
تعد AppArmor وحدة أمنية لنظام لينكس توفر تحكمًا إلزاميًا في الوصول (MAC)، مصممة لتأمين نظام التشغيل من خلال حصر البرامج في مجموعة محدودة من الموارد. تم دمجها في النواة الرئيسية لنظام لينكس منذ الإصدار 2.6.36، وهي مكون حاسم لتقوية الأنظمة ضد التهديدات الخارجية والداخلية من خلال منع استغلال عيوب التطبيقات. ومع ذلك، تكشف ثغرات CrackArmor عن نقاط ضعف أساسية في تنفيذها. كما أوضح سعيد عباسي، المدير الأول في وحدة أبحاث التهديدات بـ Qualys، تسمح الثغرات للمستخدمين غير المميزين بالتلاعب بملفات تعريف الأمان عبر الملفات الزائفة، وتجاوز قيود مساحة اسم المستخدم، وتنفيذ تعليمات برمجية عشوائية في سياق النواة في نهاية المطاف.
يكمن جوهر المشكلة في ثغرات "الوكيل المُربَك"، وهي فئة من العيوب حيث يتم خداع برنامج مميز من قبل طرف أقل صلاحية لإساءة استخدام سلطته. في هذا السيناريو، يمكن لمهاجم بدون أذونات مباشرة التلاعب بواجهات إدارة ملفات تعريف AppArmor. يمكن لهذا التلاعب تعطيل حماية الأمان الحرجة للخدمات أو فرض سياسات تقييدية للغاية "لرفض الكل"، مما يؤدي إلى حالات رفض الخدمة (DoS). علاوة على ذلك، من خلال الجمع بين هذه الإمكانيات الأولية للتلاعب مع العيوب المتأصلة على مستوى النواة في منطق تحليل ملفات التعريف، يمكن للمهاجمين الخروج من مساحات أسماء المستخدمين المقيدة - وهي حجر الزاوية في عزل الحاويات - وتنفيذ إجراءات غير مصرح بها.
تداعيات الاستغلال الناجح خطيرة. يمكن للمهاجمين تحقيق تصعيد للصلاحيات محليًا إلى الجذر من خلال تفاعلات معقدة مع أدوات النظام الشائعة مثل Sudo و Postfix. بالإضافة إلى ذلك، تمكن الثغرات من ناقلات هجوم أخرى، بما في ذلك هجمات رفض الخدمة (DoS) عبر استنفاد المكدس وتجاوزات العشوائية في تخطيط مساحة عنوان النواة (KASLR) من خلال عمليات القراءة خارج الحدود. توفر هذه القدرات مجموعة أدوات قوية لاختراق خوادم لينكس، خاصة الأنظمة متعددة المستأجرين ومنصات الحاويات حيث يتم نشر AppArmor لفرض الفصل بين أحمال العمل. يُنصح مسؤولو النظام بمراقبة التحديثات الرسمية من موردي توزيعات لينكس الخاصة بهم، حيث تؤثر الثغرات على مجموعة واسعة من إصدارات النواة على مدى فترة زمنية كبيرة.
