In AppArmor, een Linux Security Module die standaard actief is op distributies als Ubuntu, Debian en SUSE, zijn negen kritieke kwetsbaarheden ontdekt. Deze kwetsbaarheden, gezamenlijk aangeduid als CrackArmor, maken het mogelijk voor onbevoegde gebruikers om kernelbeschermingen te omzeilen, rootrechten te verkrijgen en de isolatie van containers te doorbreken. Dit werd vastgesteld door onderzoekers van Qualys.

De kwetsbaarheden zijn aanwezig sinds Linux kernelversie 4.11 uit 2017 en treffen wereldwijd meer dan 12,6 miljoen enterprise Linux-instanties die AppArmor gebruiken. AppArmor fungeert als het standaard Mandatory Access Control-mechanisme binnen deze distributies en wordt breed ingezet in cloudomgevingen, Kubernetes, IoT en edge-infrastructuren. De aanval maakt gebruik van een confused deputy-aanval waarbij een onbevoegde gebruiker een geprivilegieerd proces manipuleert om namens hem acties uit te voeren zonder de juiste rechten. Aanvallers misbruiken hiervoor tools zoals Sudo en Postfix om AppArmor-profielen aan te passen via pseudo-bestanden als /sys/kernel/security/apparmor/.load en .replace. Dit omzeilt user-namespace-beperkingen en maakt het mogelijk om willekeurige code in de kernel uit te voeren.

De gevolgen omvatten lokale privilege-escalatie naar root, denial-of-service door stack-exhaustie en bypasses van Kernel Address Space Layout Randomization (KASLR) via out-of-bounds reads. Ook de isolatie van containers is hierdoor niet langer gegarandeerd. Qualys TRU heeft Proof of Concept-exploits ontwikkeld die de volledige aanvalsketen demonstreren. Deze exploits zijn niet publiekelijk vrijgegeven, maar gedeeld met de betrokken securityteams om het patchproces te versnellen.

Debian heeft op 12 maart 2024 een securityupdate uitgebracht die de kwetsbaarheden verhelpt. Ubuntu en SUSE werken aan vergelijkbare patches. Qualys adviseert om de vendor-kernelpatches direct toe te passen en monitoring in te stellen op /sys/kernel/security/apparmor/ om ongeautoriseerde wijzigingen in AppArmor-profielen te detecteren. Daarnaast wordt aangeraden om de Linux-kernel te upgraden naar versie 7.0 na de release van versie 6.19.