Onderzoekers hebben verschillende kritieke kwetsbaarheden in Linux AppArmor ontdekt waardoor een lokale aanvaller root kan worden. Volgens securitybedrijf Qualys, dat de problemen ontdekte en rapporteerde, maken wereldwijd 12,6 miljoen enterprise Linux instances standaard gebruik van AppArmor. Er zijn updates beschikbaar gemaakt om de problemen te verhelpen. De in totaal negen verschillende beveiligingslekken die de aanval mogelijk maken hebben de naam 'CrackArmor' gekregen.

AppArmor is een door Canonical beheerde Linux kernel security module waarmee systeembeheerders de mogelijkheden van programma's via een apart profiel per programma kunnen beperken. Zo kan er via de profielen bijvoorbeeld worden aangegeven of een programma netwerktoegang mag hebben of de mogelijkheid om bestanden te lezen, schrijven of uit te voeren. Volgens Qualys is AppArmor het standaard access control mechanisme van Ubuntu, Debian, SUSE en tal van cloudplatforms.

Via de CrackArmor-kwetsbaarheden kan een unprivileged gebruiker de AppArmor-profielen manipuleren, door ze te laden, verwijderen of vervangen, user-namespace beperkingen omzeilen en willekeurige code binnen de kernel uitvoeren. Door de gevonden problemen te combineren kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen tot die van root. Ook kan misbruik tot een denial of service leiden.

Er zijn op dit moment nog geen CVE-nummers voor de kwetsbaarheden beschikbaar. Qualys zegt dat het proof-of-concept exploitcode heeft ontwikkeld om misbruik van de problemen te demonstreren, maar maakt die nog niet beschikbaar zodat organisaties de tijd krijgen om de beschikbare patches uit te rollen en het risico voor ongepatchte omgevingen te beperken. De kwetsbaarheden werden vorig jaar juli, augustus en september gerapporteerd. Updates zijn sinds gisteren beschikbaar.