Namespace Bypass Cyberangreifer können Root-ähnliche Rechte in Ubuntu erlangen

Anbieter zum Thema

Qualys GmbH

sysob IT-Distribution GmbH & Co. KG

Fsas Technologies GmbH

FTAPI Software GmbH

Qualys hat drei Methoden entdeckt, mit denen sich die Ubuntu-Schutzmechanismen für unprivilegierte Benutzernamensräume aushebeln lassen. Einen Patch gibt es bisher nicht, aber Härtungsempfehlungen von Ubuntu.

Die Qualys Threat Research Unit (TRU) hat drei sogenannte Namespace-Bypass-Schwachstellen entdeckt, mit denen lokale Cyberangreifer in der Lage seien, die Schutzmechanismen für unprivilegierte Benutzernamensräume in Ubuntu 23.10 und 24.04 zu umgehen und sich so administrative Rechte verschaffen zu können. Die unprivilegierten Namespaces sind ein Linux-Feature, welches es Nutzern erlaubt, sich isolierte Umgebungen zu erstellen. Innerhalb dieser können sie Prozesse starten, Dateisysteme einbinden oder Netzwerke konfigurieren – ohne dafür Root-Rechte auf dem gesamten System zu benötigen. Diese Funktion ist für Containerisierung und Sandbox-Mechanismen essenziell.

Eskalation von Berechtigungen in needrestart

Qualys TRU deckt fünf lokale Schwachstellen in Ubuntu-Servern auf

Umgehung der Einschränkung für unpreviligierte Namespaces

Weil diese Funktion jedoch auch Risiken birgt, etwa wenn eine Schwachstelle im Linux-Kernel existiert, hat Ubuntu ab Version 23.10 eine zusätzliche Sicherheitsmaßnahme eingeführt: eine systemweite Einschränkung der Nutzung von unprivilegierten Benutzernamensräumen durch AppArmor. Diese Funktion ist in Ubuntu 24.04 standardmäßig aktiviert. Sie bewirkt, dass Prozesse, die durch AppArmor-Profile geschützt sind, keine unprivilegierten Benutzernamensräume mehr erstellen dürfen, es sei denn, das entsprechende AppArmor-Profil erlaubt dies ausdrücklich.

Diese Einschränkung richtet sich laut Ubuntu gezielt gegen Software, die kein eigenes AppArmor-Profil besitzt oder nur mit Standardeinstellungen läuft. Anwendungen, die jedoch auf unprivilegierte Benutzernamensräume angewiesen sind, könnten durch ein angepasstes AppArmor-Profil so konfiguriert werden, dass sie weiterhin Zugriff auf diese Funktion erhalten. Ziel der Einschränkung sei es, zu verhindern, dass lokale Angreifer durch das Erstellen privilegierter Namespaces potenzielle Kernel-Schwachstellen ausnutzen. Solche Angriffe würden in der Regel eine Kombination mehrerer Schwachstellen erfordern – und genau solche Schwachstellen will Qualys nun aufgedeckt haben. Damit könnten Angreifer die eigentlich vorgesehenen Einschränkungen umgehen und sich innerhalb eines Namensraums Root-ähnliche Rechte verschaffen. Qualys habe die Schwachstellen am 15. Januar 2025 an Ubuntu gemeldet. Seitdem würden die beiden Unternehmen an der Behebung der Sicherheitslücken und an Verbesserungen an den AppArmor-Schutzmechanismen arbeiten.

Wie Bleeping Computer berichtet, könne die AppArmor-Einschränkung auf drei Wege umgangen werden:

• Umgehung über aa-exec: Angreifer seien in der Lage, das Tool aa-exec auszunutzen, das die Ausführung von Programmen unter bestimmten AppArmor-Profilen ermögliche. Einige dieser Profile – wie Trinity, Chrome oder Flatpak – seien so konfiguriert, dass sie die Erstellung von Benutzernamensräumen mit vollem Funktionsumfang ermöglichen. Durch die Verwendung des Befehls „unshare“ über aa-exec unter einem dieser Profile könne ein nicht privilegierter Benutzer die Namespace-Einschränkungen umgehen und seine Berechtigungen innerhalb eines Namespaces erhöhen.

• Umgehung über Busybox: Die standardmäßig auf Ubuntu Server und Desktop installierte Busybox-Shell sei mit einem AppArmor-Profil verknüpft, das ebenfalls die uneingeschränkte Erstellung von Benutzernamensräumen ermögliche. Ein Angreifer könne über Busybox eine Shell starten und damit „unshare“ ausführen, wodurch erfolgreich ein Namespace mit vollen administrativen Rechten erstellt würde.

• Umgehung über LD_PRELOAD: Diese Technik nutze die Umgebungsvariable LD_PRELOAD des dynamischen Linkers aus, um eine benutzerdefinierte gemeinsam genutzte Bibliothek in einen vertrauenswürdigen Prozess einzuschleusen. Durch das Einfügen einer Shell in ein Programm wie Nautilus – das über ein freizügiges AppArmor-Profil verfüge – sei ein Cyberkrimineller in der Lage einen privilegierten Namespace innerhalb dieses Prozesses zu starten und so die beabsichtigten Einschränkungen zu umgehen.

Ursprünglich entdeckt habe die Busybox-Umgehung jedoch der Schwachstellenforscher Roddux, der Details dazu am 21. März 2025 veröffentlichte.

Ubuntu teilte außerdem Maßnahmen, wie Nutzer ihre System härten können:

• Aktivieren Sie die Funktion „kernel.apparmor_restrict_unprivileged_unconfined=1“, um den Missbrauch von aa-exec zu verhindern. Diese ist standardmäßig nicht aktiviert.

• Deaktivieren Sie allgemeine AppArmor-Profile für Busybox und Nautilus, die die Erstellung von Namespaces ermöglichen.

• Optional können Sie außerdem ein strengeres bwrap-AppArmor-Profil für Bubblewrap-Anwendungen wie Nautilus anwenden, die auf Benutzernamensräumen basieren.

• Verwenden Sie aa-status, um andere riskante Profile zu identifizieren und zu deaktivieren.

Cyberspionage in Russland

Aktiv ausgenutzter Zero-Day-Exploit in Google Chrome

(ID:50370822)