La sécurité d’Ubuntu menacée par ces faiblesses : des actions manuelles sont requises !

La distribution Ubuntu est affectée par trois faiblesses situées dans le mécanisme AppArmor et qui permettent à un attaquant d'obtenir des privilèges élevés sur la machine locale. Voici ce qu'il faut savoir.

AppArmor : trois méthodes de contournement dévoilées

Des chercheurs en cybersécurité de chez Qualys ont identifié trois moyens distincts de contourner les restrictions d’espace de noms utilisateur mises en place sous Ubuntu 23.10 et activées par défaut dans la version 24.04. Ces restrictions, basées sur AppArmor, devaient empêcher les utilisateurs non privilégiés d’obtenir des droits administratifs.

Dans leur rapport, les chercheurs de Qualys expliquent : "Qualys TRU a découvert trois contournements distincts de ces restrictions d'espace de noms, chacun permettant aux attaquants locaux de créer des espaces de noms d'utilisateurs avec des capacités administratives complètes."

Ces contournements représentent un risque lorsqu'ils sont utilisés conjointement avec une vulnérabilité liée au noyau. Sinon, ils ne sont pas suffisants pour compromettre entièrement un système. Un document publié par Qualys met en avant trois techniques de contournement :

• Via aa-exec : l’outil aa-exec, qui permet d’exécuter des programmes sous des profils AppArmor prédéfinis, peut être exploité pour contourner les restrictions. Certains profils comme ceux de Chrome, Trinity ou Flatpak autorisent la création d’espaces de noms avec des privilèges élevés.
• Via busybox : le terminal BusyBox, installée par défaut sur Ubuntu, est associée à un profil AppArmor permissif. Un attaquant peut l’utiliser pour exécuter la commande unshare et obtenir un espace de noms privilégié.
• Via LD_PRELOAD : cette méthode exploite la variable d’environnement LD_PRELOAD pour injecter une bibliothèque partagée dans un processus de confiance, comme Nautilus, et exécuter un espace de noms avec privilèges administratifs.

"La plupart des grandes distributions Linux permettent aux utilisateurs non privilégiés de créer des espaces de noms dans lesquels ils obtiennent effectivement tous les droits d'administration. Bien que cela soit utile pour créer des conteneurs et des sandbox, la surface d'attaque du noyau s'en trouve considérablement élargie.", expliquent les chercheurs. Ces découvertes en sont la preuve.

La réaction de Canonical et les mesures de protection

Alertée par Qualys le 15 janvier, l’équipe de sécurité de Canonical, en charge de la distribution Ubuntu, a confirmé travailler sur l'amélioration des protections AppArmor. Toutefois, il est important de préciser que Canonical ne considère pas ces faiblesses comme des vulnérabilités critiques. Selon Canonical, il s'agit plutôt d'une limite du mécanisme de sécurité en profondeur utilisé par Ubuntu.

Malgré tout, en attendant ces futures améliorations, l'éditeur d'Ubuntu a partagé plusieurs mesures d’atténuation que les administrateurs peuvent appliquer dès maintenant.

• Activer kernel.apparmor_restrict_unprivileged_unconfined=1 pour bloquer l’abus d’aa-exec.
• Restreindre les profils AppArmor permissifs pour BusyBox et Nautilus.
• Appliquer un profil AppArmor plus strict à Bubblewrap (bwrap) pour les applications utilisant les espaces de noms utilisateur.
• Utiliser aa-status pour identifier et désactiver les profils à risque.

À quoi faut-il s'attendre pour la suite ? Canonical prévoit d’intégrer ces corrections dans les mises à jour régulières plutôt que de publier des correctifs d’urgence.

Source

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Voir la bio complète