Bretxa a Ubuntu permet evadir restriccions als espais de nom d'usuari

I és que a partir de la versió 23.10, Ubuntu va introduir una capa addicional de seguretat per impedir que usuaris sense privilegis creïn espais de noms d'usuari, una mesura destinada a mitigar riscos de seguretat.

Si bé l'accés a aquests espais no és en si mateix una vulnerabilitat, el seu ús pot exposar subsistemes del nucli a possibles atacs, especialment en entorns d'aïllament com ara contenidors o sandboxs de navegadors.

Descobrim tres maneres diferents d'eludir aquestes restriccions d'espais de noms d'usuari sense privilegis; cadascuna permet a un atacant local crear espais de noms dusuari amb capacitats dadministrador completes i, per tant, explotar vulnerabilitats en components del kernel que requereixen capacitats com CAP_SYS_ADMIN o CAP_NET_ADMIN

Importància dels espais de noms a Linux

Els espais de noms permeten que diferents processos gestionin recursos de manera independent, aïllant entorns sense interferir amb altres processos. L'espai de noms d'usuari permet que els processos sense privilegis accedeixin a subsistemes del nucli que normalment requereixen permisos elevats.

el problema radica que molts subsistemes de l'nucli van ser dissenyats sota el supòsit que només l'usuari root tindria accés. Amb la introducció dels espais de noms dusuari, les vulnerabilitats que abans no eren explotables per usuaris comuns ara poden ser utilitzades per obtenir accés privilegiat al sistema.

Mètodes descoberts per evadir les restriccions

Sobre les fallades descobertes pels investigadors de Qualys, aquests esmenten que han identificat tres formes en què un atacant sense privilegis podria crear un espai de noms d'usuari amb permisos elevats a Ubuntu. la primera l'ús de la utilitat aa-exec.

S'esmenta que l'eina aa-exec, inclosa a la base d'Ubuntu, permet aplicar perfils d'AppArmor a processos arbitraris. Això permet a un atacant utilitzar-la per adoptar perfils que permetin accedir a espais de noms d'usuari, com els de Chrome, Flatpak i Trinity.

La segona fallada que van detectar els investigadors és amb lús de busybox. I és que la utilitat busybox (presenti per defecte a Ubuntu) compta amb un perfil d'AppArmor que us permet crear espais de noms d'usuari. Un atacant pot iniciar un intèrpret d'ordres des de busybox i després utilitzar unshare per crear un entorn aïllat amb permisos elevats.

La tercera i última fallada detectat és mitjançant la variable d'entorn LD_PRELOAD. Amb això, un atacant pot injectar la vostra pròpia biblioteca sota qualsevol programa que tingui un perfil d'AppArmor amb accés als espais de noms d'usuari. Un exemple és Nautilus un programa amb aquests privilegis.

Mesures de mitigació

Per evitar l'explotació d'aquestes vulnerabilitats, els desenvolupadors d'Ubuntu recomanen les accions següents:

La restricció d'aa-exec

Això impedeix que usuaris sense privilegis canviïn perfils d'AppArmor arbitràriament. Això es pot fer amb l'execució de l'ordre següent:

sysctl kernel.apparmor_restrict_unprivileged_unconfined=1

Desactivar perfils d'AppArmor problemàtics

Si no cal utilitzar busybox amb accés a espais de noms o generar miniatures a Nautilus, es poden deshabilitar els perfils d'AppArmor

Verificar quins programes tenen permisos per crear espais de noms

Això permet identificar altres aplicacions instal·lades amb permisos similars.

Mesures de protecció

Finalment, cal esmentar que per reduir aquesta superfície d'atac, Ubuntu va adoptar un model híbrid que restringeix la creació d'espais de noms d'usuari, amb el qual només poden crear-los certs programes si compleixen les condicions següents:

• Tenen un perfil d'AppArmor amb regles explícites que ho permeten.
• Tenen drets CAP_SYS_ADMIN, cosa que els atorga privilegis administratius.

Això proporciona un equilibri entre seguretat i funcionalitat, cosa que permet l'ús de sandboxs en aplicacions seleccionades sense exposar tot el sistema a riscos innecessaris.

si estàs interessat a poder conèixer més sobre això, pots consultar els detalls en el següent enllaç.