كشف باحثون في مجال الأمن السيبراني عن مجموعة من الثغرات الأمنية في وحدة AppArmor الخاصة بنواة لينكس، والتي قد تسمح للمستخدمين غير المصرح لهم بتجاوز إجراءات الحماية، وتعزيز صلاحياتهم لتصل إلى مستوى الروت، وتقويض آليات عزل الحاويات. تم اكتشاف تسع ثغرات من نوع “Confused Deputy” وتمت تسميتها مبدئياً “CrackArmor”.
تم الكشف عن هذه الثغرات من قبل وحدة أبحاث التهديدات في Qualys، وتشير المعلومات إلى أن المشكلة موجودة منذ عام 2017. وتُعد هذه الثغرات خطيرة نظراً لتأثيرها المحتمل على أمن أنظمة لينكس.
ثغرات CrackArmor وعواقبها الأمنية
تعمل وحدة AppArmor كآلية للتحكم الإلزامي في الوصول (MAC) في لينكس، وهي مصممة لحماية النظام من التهديدات الخارجية والداخلية عن طريق منع استغلال ثغرات التطبيقات المعروفة وغير المعروفة. تم دمج AppArmor في نواة لينكس الرئيسية منذ الإصدار 2.6.36. ومع ذلك، فإن ثغرات CrackArmor تتيح للمستخدمين الذين لا يمتلكون الصلاحيات اللازمة التلاعب بملفات الأمان، وتجاوز قيود مساحات أسماء المستخدمين، وتنفيذ تعليمات برمجية عشوائية داخل النواة.
آلية استغلال الثغرات
تحدث ثغرات “Confused Deputy” عندما يتم خداع برنامج يتمتع بصلاحيات عالية من قبل مستخدم غير مصرح له لكي يسيء استخدام صلاحياته وينفذ إجراءات ضارة وغير مقصودة. هذا النوع من الثغرات يستغل الثقة المرتبطة بالأدوات ذات الصلاحيات الأعلى لتنفيذ أوامر تؤدي إلى تصعيد الامتيازات. وبحسب Qualys، يمكن للمهاجمين استغلال هذه الثغرات لتعطيل حماية الخدمات الهامة أو فرض سياسات منع شاملة، مما يؤدي إلى هجمات حجب الخدمة (DoS).
وأضافت Qualys أن هذه الثغرات، بالاشتراك مع مشاكل معالجة ملفات الأمان في النواة، تمكن المهاجمين من تجاوز قيود مساحات أسماء المستخدمين وتحقيق تصعيد محلي للامتيازات وصولاً إلى صلاحيات الروت الكاملة. هذا بدوره يهدد سلامة النظام بأكمله.
التأثيرات المحتملة وتوصيات الأمان
إن التلاعب بسياسات AppArmor يهدد أمان المضيف بالكامل، كما أن تجاوز مساحات أسماء المستخدمين يتيح تنفيذ استغلالات متقدمة للنواة. وتؤدي إمكانيات هجمات حجب الخدمة (DoS) وتصعيد الامتيازات المحلية (LPE) إلى انقطاع الخدمة، أو التلاعب بالبيانات الحساسة، أو الكشف عن معلومات تخطيط مساحة العنوان العشوائي للنواة (KASLR)، مما يفتح الباب أمام المزيد من الهجمات عن بعد.
والأخطر من ذلك، أن CrackArmor يتيح للمستخدمين غير المصرح لهم إنشاء مساحات أسماء مستخدمين كاملة الصلاحيات، متجاوزين بذلك قيود مساحات أسماء المستخدمين التي تم تنفيذها في توزيعات مثل Ubuntu عبر AppArmor. وهذا يقوض ضمانات الأمان الهامة مثل عزل الحاويات، وتطبيق مبدأ الحد الأدنى من الامتيازات، وتأمين الخدمات.
أعلنت Qualys أنها ستحجب تفاصيل تقنية حول إثبات المفاهيم (PoC) لهذه الثغرات، وذلك لمنح المستخدمين الفرصة لتطبيق التحديثات وتقليل مخاطر التعرض. وهذا يهدف إلى حماية الأنظمة المعتمدة على هذه الوحدة.
هذه المشكلة تؤثر على جميع نواة لينكس منذ الإصدار 4.11، وعلى أي توزيعة تعتمد على AppArmor. ونظراً لوجود أكثر من 12.6 مليون نسخة من لينكس في البيئات المؤسسية التي تفعل AppArmor افتراضياً في توزيعات رئيسية مثل Ubuntu وDebian وSUSE، فإن تحديث النواة بشكل عاجل أمر ضروري للتخفيف من وطأة هذه الثغرات.
وأكدت Qualys أن تطبيق التحديثات الفورية للنواة هو الأولوية القصوى والأكثر فعالية في مواجهة هذه الثغرات الحرجة، حيث أن الحلول المؤقتة لا توفر نفس مستوى الضمانات الأمنية التي يوفرها الكود الثابت من المطورين.