Trois contournements de sécurité ont été découverts dans les restrictions d’espace de noms d’utilisateurs non privilégiés d’Ubuntu Linux, qui pourraient permettre à un attaquant local d’exploiter les vulnérabilités des composants du noyau.

Les problèmes permettent aux utilisateurs locaux non privilégiés de créer des espaces de noms d’utilisateurs avec toutes les capacités administratives et ont un impact sur les versions Ubuntu 23.10, où les restrictions d’espaces de noms d’utilisateurs non privilégiés sont activées, et 24.04 qui les active par défaut.

Les espaces de noms d’utilisateurs Linux permettent aux utilisateurs d’agir en tant que root dans un bac à sable isolé (espace de noms) sans avoir les mêmes privilèges sur l’hôte.

Ubuntu a ajouté des restrictions basées sur AppArmor dans la version 23.10 et les a activées par défaut dans 24.04 pour limiter le risque d’utilisation abusive de l’espace de noms.

Des chercheurs de la société de sécurité et de conformité dans le cloud Qualys ont découvert que ces restrictions peuvent être contournées de trois manières différentes.

« Qualys TRU a découvert trois contournements distincts de ces restrictions d’espace de noms, chacun permettant aux attaquants locaux de créer des espaces de noms d’utilisateurs dotés de toutes les capacités administratives”, expliquent les chercheurs.

« Ces contournements facilitent l’exploitation des vulnérabilités des composants du noyau nécessitant de puissants privilèges administratifs dans un environnement confiné » – Qualys

Les chercheurs notent que ces contournements sont dangereux lorsqu’ils sont combinés à des vulnérabilités liées au noyau, et qu’ils ne suffisent pas à obtenir un contrôle complet du système.

Qualys fournit des détails techniques sur les trois méthodes de contournement, résumées comme suit:

  1. Contournement via aa-exec: Les utilisateurs peuvent exploiter l’outil aa-exec, qui permet d’exécuter des programmes sous des profils AppArmor spécifiques. Certains de ces profils – comme trinity, chrome ou flatpak – sont configurés pour permettre la création d’espaces de noms utilisateur avec toutes les fonctionnalités. En utilisant la commande annuler le partage via aa-exec sous l’un de ces profils permissifs, un utilisateur non privilégié peut contourner les restrictions d’espace de noms et augmenter les privilèges au sein d’un espace de noms.
  2. Contourner via busybox: Le shell busybox, installé par défaut sur le serveur et le bureau Ubuntu, est associé à un profil AppArmor qui permet également la création d’espaces de noms utilisateur sans restriction. Un attaquant peut lancer un shell via busybox et l’utiliser pour exécuter unshare, créant avec succès un espace de noms utilisateur avec toutes les capacités administratives.
  3. Contournement via LD_PRELOAD: Cette technique exploite la variable d’environnement LD_PRELOAD de l’éditeur de liens dynamique pour injecter une bibliothèque partagée personnalisée dans un processus approuvé. En injectant un shell dans un programme comme Nautilus-qui a un profil AppArmor permissif – un attaquant peut lancer un espace de noms privilégié à partir de ce processus, en contournant les restrictions prévues.

Qualys a informé l’équipe de sécurité Ubuntu de ses conclusions le 15 janvier et a accepté une version coordonnée. Cependant, le contournement de busybox a été découvert indépendamment par le chercheur en vulnérabilité Roddux, qui a publié les détails le 21 mars.

Réponse et atténuations de Canonical
Canonical, l’organisation à l’origine d’Ubuntu Linux, a reconnu les conclusions de Qualys et confirmé à Breachtrace qu’elle développait des améliorations des protections AppArmor.

Un porte-parole nous a dit qu’ils ne traitaient pas ces résultats comme des vulnérabilités en soi, mais comme des limitations d’un mécanisme de défense en profondeur. Par conséquent, les protections seront publiées selon des calendriers de publication standard et non comme des correctifs de sécurité urgents.

Dans un bulletin publié sur le forum de discussion officiel (Ubuntu Discourse), la société a partagé les étapes de renforcement suivantes que les administrateurs devraient envisager:

  • Activer le noyau.apparmor_restrict_unprivileged_unconfined = 1 pour bloquer l’abus aa-exec. (non activé par défaut)
  • Désactivez les profils AppArmor larges pour busybox et Nautilus, qui permettent la création d’espaces de noms.
  • Appliquez éventuellement un profil wrap AppArmor plus strict pour des applications telles que Nautilus qui reposent sur des espaces de noms d’utilisateurs.
  • Utilisez le statut aa pour identifier et désactiver d’autres profils de risque.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *