Ubuntu Linux si trova ad affrontare una serie di vulnerabilità che mettono in discussione l'efficacia delle sue restrizioni sui namespace utente. Tre distinti metodi di bypass sono stati recentemente scoperti, permettendo a utenti locali senza privilegi di ottenere capacità amministrative complete all'interno di ambienti isolati. Queste falle di sicurezza colpiscono specificamente le versioni Ubuntu 23.10, dove le restrizioni sui namespace utente non privilegiati sono attivabili, e la 24.04, dove tali restrizioni sono attive per impostazione predefinita.
I ricercatori di Qualys, azienda specializzata in sicurezza e conformità cloud, hanno identificato queste vulnerabilità che, pur non consentendo direttamente il controllo completo del sistema, diventano particolarmente pericolose quando combinate con altre vulnerabilità a livello kernel. Il problema è radicato nella natura stessa dei namespace Linux, progettati per consentire agli utenti di agire come amministratori all'interno di un'area isolata senza avere gli stessi privilegi sull'host principale.
A partire dalla versione 23.10, Ubuntu aveva introdotto restrizioni basate su AppArmor proprio per limitare i rischi associati all'uso improprio di questi namespace, ma tali misure si sono rivelate insufficienti di fronte alle tecniche di bypass scoperte.
Le tre strade per aggirare le protezioni
Le metodologie di bypass identificate sfruttano diverse componenti del sistema operativo. La più sofisticata utilizza la variabile d'ambiente LD_PRELOAD del linker dinamico per iniettare una libreria condivisa personalizzata in un processo considerato affidabile. Attraverso questo meccanismo, un potenziale attaccante può iniettare una shell in programmi come Nautilus, che dispone di un profilo AppArmor permissivo, lanciando così un namespace privilegiato dall'interno del processo e aggirando le restrizioni previste.
Il secondo metodo sfrutta lo strumento aa-exec, che permette di eseguire programmi sotto specifici profili AppArmor. Alcuni di questi profili, come trinity, chrome o flatpak, sono configurati per consentire la creazione di namespace utente con capacità complete. Utilizzando il comando unshare attraverso aa-exec sotto uno di questi profili permissivi, un utente senza privilegi può facilmente aggirare le restrizioni.
La terza tecnica, scoperta indipendentemente dal ricercatore Roddux e pubblicata il 21 marzo, sfrutta invece busybox. Questa shell, installata per impostazione predefinita sia su Ubuntu Server che Desktop, è associata a un profilo AppArmor che permette anch'esso la creazione di namespace utente senza restrizioni. Un attaccante può quindi avviare una shell tramite busybox e utilizzarla per eseguire unshare, creando con successo un namespace utente con pieni poteri amministrativi.
I ricercatori di Qualys sottolineano che "questi bypass facilitano lo sfruttamento di vulnerabilità nei componenti del kernel che richiedono potenti privilegi amministrativi all'interno di un ambiente confinato". La scoperta è stata segnalata al team di sicurezza di Ubuntu il 15 gennaio, concordando un rilascio coordinato delle informazioni.
Le misure di mitigazione
Canonical, l'organizzazione dietro Ubuntu Linux, ha riconosciuto le scoperte di Qualys ma ha adottato un approccio particolare nella gestione di queste problematiche. In una comunicazione a BleepingComputer, l'azienda ha confermato di star sviluppando miglioramenti alle protezioni AppArmor, ma ha precisato di non considerare queste scoperte come vulnerabilità vere e proprie, bensì come limitazioni di un meccanismo di difesa in profondità.
Questa distinzione ha importanti implicazioni pratiche: le protezioni verranno rilasciate secondo i normali programmi di aggiornamento e non come correzioni di sicurezza urgenti. Nel frattempo, Canonical ha pubblicato un bollettino sul forum ufficiale di discussione (Ubuntu Discourse) condividendo alcune misure di protezione che gli amministratori dovrebbero considerare:
Si consiglia di abilitare kernel.apparmor_restrict_unprivileged_unconfined=1 per bloccare l'abuso di aa-exec, una misura non attiva per impostazione predefinita. È inoltre suggerito di disabilitare i profili AppArmor ampi per busybox e Nautilus, che permettono la creazione di namespace. Opzionalmente, si può applicare un profilo AppArmor più rigoroso per bwrap per applicazioni come Nautilus che si basano sui namespace utente. Infine, gli amministratori possono utilizzare aa-status per identificare e disabilitare altri profili a rischio.
Queste misure di mitigazione manuale rappresentano attualmente l'unica difesa disponibile contro queste tecniche di bypass, in attesa che Canonical integri soluzioni permanenti nelle prossime versioni di Ubuntu. La situazione evidenzia come anche i sistemi operativi più attenti alla sicurezza possano presentare falle in meccanismi progettati specificamente per la protezione, richiedendo un'attenzione costante e un approccio proattivo alla gestione della sicurezza informatica.
Questo commento è stato nascosto automaticamente. Vuoi comunque leggerlo?