La Threat Research Unit (TRU) di Qualys ha annunciato la scoperta di “CrackArmor”, un insieme di nove vulnerabilità all’interno di AppArmor, un modulo di sicurezza ampiamente utilizzato nel kernel Linux. Queste falle hanno lasciato oltre 12 milioni di sistemi aziendali basati su distribuzioni Ubuntu, Debian e SUSE esposti fin dal 2017, consentendo agli attaccanti locali di ottenere accesso root completo, eseguire container breakouts e causare crash dell’intero sistema.
Le vulnerabilità CrackArmor sfruttano una falla di tipo “confused deputy”, che manipola un programma affidabile con privilegi elevati inducendolo a utilizzare impropriamente la propria autorità. Gli attaccanti possono ingannare i processi di sistema affinché compiano azioni malevoli per loro conto, bypassando i controlli di sicurezza e ottenendo accessi non autorizzati o escalation di privilegi senza necessità di credenziali amministrative.
La scoperta evidenzia un rischio significativo in numerosi settori. Gli ambiti più colpiti includono: cloud computing, bancario e finanziario, manifatturiero, sanitario e governativo.
“Queste scoperte mettono in luce lacune critiche nel modo in cui ci affidiamo alle configurazioni di sicurezza predefinite,” ha dichiarato Dilip Bachwani, Chief Technology Officer di Qualys. “CrackArmor dimostra che anche le protezioni più consolidate possono essere bypassate senza credenziali amministrative. Per i CISO, questo significa che il solo patching non basta; dobbiamo rivedere completamente cosa significhi ‘configurazioni di default’ per la nostra infrastruttura”.
I ricercatori di Qualys hanno stabilito che l’unico metodo affidabile per mitigare le vulnerabilità CrackArmor è tramite un’immediata applicazione delle patch del kernel. Si invitano le organizzazioni ad applicare gli aggiornamenti di sicurezza necessari per proteggere i sistemi da potenziali exploit.
In linea con il processo di responsible disclosure, il team TRU di Qualys si è coordinato e ha comunicato con i manutentori upstream per diversi mesi, assicurando che le correzioni fossero stabili e robuste su tutte le distribuzioni Linux prima della pubblicazione ufficiale. Qualys continua a collaborare con la comunità per affrontare queste criticità di sicurezza.
