CEVIU Logo
Voltar

Múltiplas vulnerabilidades no AppArmor

Aprofundamento CEVIU

Aprofundamento

A Qualys descobriu nove falhas críticas no AppArmor, não como um módulo isolado, mas como uma falha estrutural na forma como o kernel Linux expõe interfaces de controle de política via sysfs. O ponto mais perigoso é o 'confused-deputy': pseudo-arquivos como /sys/kernel/security/apparmor/.load são world-writable, mas a verificação de permissões acontece *após* a abertura do arquivo, ou seja, qualquer processo comum pode abrir o caminho e passar o descritor para um binário privilegiado (como su ou postfix), que então executa a operação em nome do atacante. Isso permite substituir, remover ou carregar perfis maliciosos sem root, e a Qualys já demonstrou escalada para root em menos de 4,5 segundos em Ubuntu 24.04 LTS corrigido, explorando combinações de 'use-after-free' e 'double-free'.

As outras quatro falhas técnicas confirmadas não são secundárias: uma leitura fora dos limites vaza 64 KB de memória do kernel com ponteiros reais, quebrando KASLR; outra recursão descontrolada pode travar o sistema sem necessidade de privilégios; e as duas de memória permitem não só escalada, mas também bypass completo de restrições de sandboxing. A gravidade aumenta porque o AppArmor está habilitado por padrão em Ubuntu, Debian e SUSE 15, e não há mitigação eficaz no espaço do usuário que substitua a atualização do kernel.

Por que isso importa

Essas vulnerabilidades não exigem engenharia social nem acesso remoto: bastam credenciais de usuário comum em um terminal, SSH ou até um shell dentro de um container com AppArmor ativado. Em ambientes corporativos com máquinas virtuais, Kubernetes ou desktops Ubuntu gerenciados centralmente, um único usuário comprometido pode desabilitar controles de segurança de toda a instância. Como o AppArmor é frequentemente usado como segunda camada após SELinux em sistemas híbridos, sua falha enfraquece defesas em profundidade, e o fato de ter permanecido desde 2017 (kernel 4.11) mostra que auditorias de superfície de ataque em interfaces sysfs ainda são negligenciadas.

Perguntas frequentes

Essas falhas afetam meu servidor Ubuntu 24.04?

Sim, diretamente. O Ubuntu 24.04 LTS usa AppArmor por padrão e foi testado pela Qualys como exploração bem-sucedida. Atualizações de kernel estão disponíveis desde 17 de março de 2026. Não basta atualizar pacotes do AppArmor: é obrigatório atualizar o kernel e reiniciar.

Posso desativar o AppArmor como solução temporária?

Não recomendado. Desativar o AppArmor remove proteção contra exploits conhecidos em serviços como Apache, MySQL e Postfix, e não resolve as falhas subjacentes no kernel. A única mitigação válida é aplicar os patches oficiais e reiniciar.

O que significa 'confused-deputy' nesse contexto?

É um erro de design onde um processo privilegiado (como 'su') executa uma operação em nome de um usuário não privilegiado, porque confia no descritor de arquivo já aberto, mesmo que o usuário comum não tenha permissão direta para escrever no caminho. Aqui, o 'deputado' é o próprio kernel ao permitir que arquivos do sysfs sejam abertos sem validação imediata.

RHEL ou CentOS estão vulneráveis?

Não. RHEL, CentOS Stream, Rocky e AlmaLinux usam SELinux por padrão e não habilitam AppArmor, portanto, não são impactados. A vulnerabilidade é específica à implementação do AppArmor no kernel Linux, não ao núcleo do sistema em si.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
17 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser