La seguridad estructural de millones de sistemas Linux, incluyendo infraestructuras en la nube, clústeres de Kubernetes y dispositivos de borde (IoT), se encuentra bajo amenaza crítica tras el descubrimiento de CrackArmor. La Unidad de Investigación de Amenazas (TRU) de Qualys ha desvelado nueve vulnerabilidades profundas en AppArmor, el módulo de seguridad (LSM) de control de acceso obligatorio que viene habilitado por defecto en distribuciones clave como Ubuntu, Debian y SUSE.
Estas brechas, presentes en el kernel de Linux desde la versión 4.11 (lanzada en 2017), permiten a un atacante local sin privilegios previos escalar hasta obtener permisos absolutos de administrador (root), escapar de contenedores aislados y provocar denegaciones de servicio.
El fallo del «Delegado Confundido»
El núcleo de CrackArmor no reside en un defecto teórico del modelo de Control de Acceso Obligatorio (MAC), sino en un error clásico de implementación conocido como «delegado confundido» (confused deputy). En este escenario, un atacante engaña a un proceso con altos privilegios para que realice acciones destructivas en su nombre.
Debido a esta vulnerabilidad en el código de AppArmor, un usuario sin privilegios puede escribir directamente en los pseudoarchivos del sistema (/sys/kernel/security/apparmor/.load, .replace y .remove). Esta manipulación directa permite cargar, reemplazar o eliminar políticas de seguridad arbitrarias. Las consecuencias de evadir este aislamiento son devastadoras:
- Desactivación de Defensas: Se pueden eliminar los perfiles que protegen servicios críticos como cupsd o rsyslogd, dejándolos expuestos a ataques tanto locales como remotos.
- Denegación de Servicio (DoS): Al cargar perfiles de «denegación total» (deny-all), un atacante puede bloquear por completo el acceso remoto legítimo a un servidor (ej. aislando el servicio SSH). Aún más crítico, la eliminación de subperfiles anidados profundamente puede provocar un agotamiento recursivo de la pila del kernel en arquitecturas x86-64, forzando un kernel panic y el reinicio inmediato del sistema.
- Fuga de Contenedores: Cargando un nuevo perfil para utilidades estándar como /usr/bin/time, se pueden evadir las restricciones de los espacios de nombres de usuario (namespaces), permitiendo la creación ilimitada de entornos aislados manipulados.
- Escalada de Privilegios a Root: Postfix y Sudo
La capacidad de reemplazar perfiles de AppArmor abre la puerta a la obtención directa de privilegios de administrador explotando herramientas de confianza del sistema. El equipo de Qualys demostró un vector de ataque particularmente ingenioso combinando sudo y el servidor de correo Postfix.
El atacante adjunta un perfil restrictivo a la utilidad sudo que bloquea específicamente la operación setuid (la capacidad de cambiar la identidad del usuario). Simultáneamente, manipula la variable de entorno MAIL_CONFIG para apuntar a un directorio temporal controlado por el atacante.
Cuando sudo encuentra un «problema» (forzado por el perfil restrictivo de AppArmor), intenta enviar un correo electrónico de alerta al administrador. Como la operación setuid falló, este proceso de envío de correo se ejecuta inadvertidamente con privilegios de root. Al haber manipulado MAIL_CONFIG, el atacante engaña a sendmail para que ejecute un controlador personalizado (postdrop) ubicado en su directorio temporal. Este script malicioso, ahora ejecutándose como root, puede hacer cualquier cosa, desde robar el archivo de contraseñas hasta otorgar acceso administrativo permanente al atacante.
Vulnerabilidades en el Kernel: Uso después de la liberación (Use-After-Free)
CrackArmor también expone vulnerabilidades a nivel del espacio del kernel (Ring 0) relacionadas con la gestión de la memoria durante la carga y reemplazo de perfiles. Los investigadores descubrieron una condición de carrera que provoca una vulnerabilidad de «uso después de la liberación» (Use-After-Free).
Cuando AppArmor almacena un perfil en la memoria (en la estructura aa_loaddata), existe una ventana de tiempo donde un atacante puede acceder a esta estructura justo después de que la memoria haya sido liberada (por una doble ejecución de la función free()). Explotando esta ventana, el atacante toma el control del bloque de memoria liberado y puede forzar al kernel a reasignar esa página para mapear el contenido de archivos críticos, como /etc/passwd. A partir de ahí, basta con sobrescribir la cadena de la contraseña de root para tomar el control total de la máquina.
Respuesta, Parches y Mitigación
A diferencia de otras vulnerabilidades, la gravedad de CrackArmor radica en que AppArmor es precisamente la barrera de confianza que aísla contenedores y servicios en millones de instancias (más de 12,6 millones detectadas por Qualys). Si esta capa falla silenciosamente, el principio de mínimo privilegio se derrumba.
El equipo de desarrollo del kernel de Linux ha asignado hasta el momento dos identificadores CVE (CVE-2026-23268 y CVE-2026-23269) para parte de estas vulnerabilidades. Los parches ya han sido enviados y se están distribuyendo a través de las ramas estables del kernel.
Ubuntu ha liderado la respuesta emitiendo actualizaciones no solo para sus paquetes del kernel, sino también parcheando las utilidades sudo, sudo-ldap y util-linux (que incluye su) para mitigar los vectores de ataque descritos. Debian y SUSE se encuentran preparando sus respectivas actualizaciones de emergencia. Para los administradores de sistemas (SysAdmins y CISOs), la directriz es clara: la aplicación inmediata de los parches del kernel es innegociable, combinada con una monitorización estricta del directorio /sys/kernel/security/apparmor/ para detectar cualquier modificación anómala de perfiles que indique un compromiso en curso.
Fuente: https://blog.qualys.com
Continúar leyendo...