章
目
录
Ubuntu系统中近期发现了三处关键的安全限制绕过漏洞,这给本地攻击者提供了可乘之机,他们能够借此提升权限,进而利用内核漏洞实施恶意行为。这一问题主要影响Ubuntu 23.10和24.04 LTS系统,这些系统原本依靠基于AppArmor的防护机制来防范命名空间被滥用。
一、漏洞的影响与潜在风险
这些漏洞单独存在时,并不会直接让攻击者获取完整的系统控制权。然而,一旦与那些需要CAP_SYS_ADMIN或CAP_NET_ADMIN等管理权限的内核漏洞相结合,就会形成一条极具威胁的攻击链。这意味着攻击者有可能利用这些漏洞组合,突破系统的安全防线,对系统造成严重破坏。
二、Ubuntu用户命名空间的绕过技术
Qualys威胁研究部门(TRU)发布的安全公告显示,攻击者找到了三种绕过Ubuntu用户命名空间限制机制的方法。这一限制机制原本是为了防止非特权用户在隔离环境中获取管理权限而设计的。
- 通过aa – exec工具绕过:Ubuntu系统默认安装的aa – exec工具,具备切换到宽松AppArmor配置文件(如trinity、chrome或flatpak)的功能。攻击者正是利用了这一特性,通过执行以下命令来创建不受限制的命名空间:
aa - exec -p trinity -- unshare -Urm
如此一来,攻击者就能在命名空间内获得完整权限,成功绕过Ubuntu的限制机制。
2. 通过Busybox绕过:默认的Busybox shell的AppArmor配置文件存在漏洞,允许不受限制地创建命名空间。攻击者可以借助Busybox启动shell,并执行如下命令:
busybox sh -c "unshare -Urm"
值得注意的是,这种攻击方式在Ubuntu服务器和桌面版上都能生效。
3. 通过LD_PRELOAD绕过:攻击者还会向像Nautilus(GNOME文件管理器)这样的受信任进程注入恶意共享库,利用其宽松的配置文件来达成目的:
LD_PRELOAD=/path/to/malicious_lib.so nautilus
恶意库会在进程中生成shell,进而创建特权命名空间。
这些漏洞对不同版本的Ubuntu系统影响程度有所不同。Ubuntu 24.04 LTS版本默认启用了限制机制,但仍被攻击者找到绕过方法;Ubuntu 23.10版本虽然存在限制机制,不过需要手动激活,这也使得该版本系统在未激活限制机制时更容易受到攻击。
用户命名空间对于容器化和沙箱技术来说至关重要,然而一旦配置不当,就会增大内核的攻击面。研究人员指出,尽管这些绕过方法本身不会直接对系统造成严重危害,但它们降低了利用内存损坏或竞态条件等内核漏洞的难度,为攻击者打开了方便之门。
三、应对漏洞的缓解措施
面对这些安全漏洞,Canonical公司虽然承认了限制的存在,但将其归类为纵深防御弱点,而非关键漏洞。即便如此,还是给出了一些缓解措施:
- 内核参数调整:通过启用
kernel.apparmor_restrict_unprivileged_unconfined = 1,可以有效阻止aa – exec工具被滥用。在终端执行以下命令即可:
sysctl kernel.apparmor_restrict_unprivileged_unconfined=1
- 配置文件加固:禁用Busybox和Nautilus的宽松AppArmor配置文件,具体操作命令如下:
ln -s /etc/apparmor.d/usr.bin.busybox /etc/apparmor.d/disable/
apparmor_parser -R /etc/apparmor.d/usr.bin.busybox
- 加强bwrap配置:对于依赖bwrap的应用程序(如Flatpak),需要实施细粒度的命名空间控制,以此增强系统安全性。
此外,管理员可以使用aa - status命令来审核配置文件,及时发现潜在的安全风险。同时,通过标准Ubuntu渠道应用更新也是保障系统安全的重要手段。不过需要注意的是,这些修复措施不会作为紧急补丁发布。
Qualys公司提供了TruRisk Eliminate平台,该平台能够实现自动化防御。它包含预测试脚本,可以强制执行内核参数的设置,并禁用易受攻击的配置文件。而且,该平台还能与Qualys代理集成,实现集中化的缓解部署,为关键资产提供无需打补丁的风险隔离方案。
此次Ubuntu安全漏洞的发现,凸显了Linux发行版在平衡系统可用性与安全性方面面临的严峻挑战。尽管Ubuntu采取的主动安全措施在行业内具有一定的标杆意义,但这些绕过漏洞的出现表明,纵深防御机制可能会在不经意间引入复杂性,增加安全风险。随着内核级漏洞利用事件的逐渐增多,对于那些既重视系统正常运行时间,又关注安全性的企业而言,TruRisk Eliminate等解决方案以及快速加固实践显得尤为重要。
目前,Qualys和Canonical正在紧密合作,致力于改进AppArmor。预计在未来的Ubuntu版本中会发布相关更新,进一步提升系统的安全性。在此之前,管理员需要手动应用上述缓解措施,保护易受攻击的系统,确保系统安全稳定运行。
