Ranjivost Ubuntu imenskog prostora

AUTOR ·

Korisnici Ubuntu Linux upozoreni su na nove bezbjednosne propuste, jer su otkrivene tri ranjivosti na ovom popularnom operativnom sistemu, kompromitujući funkciju dizajniranu da ojača korisničke prostore imena (eng. user namespaces). Qualys sigurnosni istraživači su identifikovali tri različite metode pomoću kojih lokalni neprivilegovani korisnici mogu zaobići ograničenja zasnovana na AppArmor bezbjednosnom modulu i kreirati korisničke prostore imena sa punim administrativnim mogućnostima.

Ubuntu User Namespace

Ranjivost Ubuntu imenskog prostora; Source: Bing Image Creator

UBUNTU RANJIVOST IMENSKOG PROSTORA

Qualys sigurnosni istraživači su otkrili niz ranjivosti u bezbjednosti koji utiču na Ubuntu verzije 23.10 i 24.04. Ovi propusti omogućavaju lokalnim korisnicima bez privilegija da kreiraju korisničke prostore sa punim administratorskim ovlašćenjima, što predstavlja značajne rizike za pogođene sisteme.

Problem je posebno zabrinjavajući, jer omogućava zlonamjernim akterima da iskoriste ranjivosti u komponentama jezgra sistema (eng. kernel) u ograničenom okruženju. To znači da čak i ako je organizacija primijenila robusne bezbjednosne mjere, ove ranjivosti se i dalje mogu koristiti za dobijanje neovlaštenog pristupa i nanošenje štete.

 

Prvi sigurnosni propust

Prvi od ovih propusta uključuje iskorišćavanje alata aa-exec, uslužnog programa koji je podrazumijevano instaliran na Ubuntu sistemima. Ovaj alat omogućava pokretanje programa pod određenim AppArmor profilima, koji su dizajnirani da ograniče pristup određenim sistemskim resursima na osnovu njihovog predviđenog slučaja upotrebe.

Neki od ovih profila, kao što su trinity, chrome ili flatpak, konfigurisani su tako da omogućavaju kreiranje korisničkih imenskih prostora sa punim mogućnostima. Korišćenjem komande unshare preko aa-exec pod jednim od ovih dozvoljenih profila, zlonamjerni akter može zaobići ograničenja Ubuntu prostora imena i povećati privilegije unutar prostora imena, jer može da kreira korisnički prostor imena koji ne podliježe Ubuntu ograničenjima.

 

Drugi sigurnosni propust

Okruženje komandne linije busybox je svestran alat koji je već dugi niz godina podrazumijevano instaliran i na Ubuntu serveru i na desktop izdanjima. Njegova primarna funkcija je da obezbijedi minimalističko, ali moćno korisničko okruženje komandne linije, omogućavajući korisnicima da obavljaju različite zadatke kao što su upravljanje datotekama, konfiguracija mreže i administracija sistema. Međutim, ispod njegove naizgled bezazlene površine krije se kritična ranjivost koju zlonamjerni akteri mogu iskoristiti da zaobiđu bezbjednosna ograničenja.

Jedna od ključnih karakteristika busybox alata je njegova povezanost sa AppArmor profilom koji dozvoljava neograničeno kreiranje korisničkog prostora imena. Za one koji nisu upoznati sa Linux konceptima bezbjednosti, prostori imena su izolovana okruženja unutar kojih funkcionišu procesi, omogućavajući bolje upravljanje resursima i poboljšanu stabilnost sistema. Međutim, kada proces kreira novi prostor imena bez odgovarajućih ograničenja, to može dovesti do napada eskalacije privilegija.

 

Treći sigurnosni propust

Koncept LD_PRELOAD je ukorenjen u sposobnosti dinamičkog povezivača da učita dijeljene biblioteke u program tokom vremena izvršavanja. Ova funkcija omogućava programerima da unesu prilagođeni kôd ili funkcionalnost u aplikaciju, poboljšavajući njene mogućnosti bez modifikacije originalnog izvornog kôda. Međutim, ova fleksibilnost takođe predstavlja ranjivost koju zlonamjerni akteri mogu da iskoriste da bi zaobišli bezbjednosna ograničenja.

U kontekstu AppArmor profila i kreiranja korisničkog prostora imena, LD_PRELOAD postaje moćan alat za zlonamjerne aktere. Podešavanjem promjenljive okruženja LD_PRELOAD da ukazuje na prilagođenu dijeljenu biblioteku, zlonamjerni akter može da ubaci sopstveno komandno okruženje u proces od povjerenja kao što je Nautilus. Ova naizgled bezazlena akcija omogućava zlonamjernom akteru da pokrene privilegovani prostor imena iz tog procesa, efektivno zaobilazeći predviđena bezbjednosna ograničenja.

 

Uticaj

Nedavno otkriće novih Ubuntu Linux bezbjednosnih propusta izazvalo zabrinutost u čitavoj zajednici sajber bezbjednosti, naglašavajući izazove balansiranja upotrebljivosti i bezbjednosti u savremenim operativnim sistemima. Otkriveni propusti pokazuju kako mehanizmi odbrane u dubini mogu nehotice da unesu složenost u inače siguran sistem. Jedna od glavnih briga ovih propusta je to što omogućavaju zlonamjernim akterima da iskoriste ranjivosti u kôdu na nivou jezgra sistema, čak i kada su AppArmor profili omogućeni.

To znači da korisnici koji se oslanjaju na Ubuntu proaktivne bezbjednosne mjere mogu i dalje biti ranjivi na napade, uprkos njihovim najboljim naporima da ostanu bezbjedni. Uticaj ovih propusta je značajan i može imati dalekosežne posljedice po organizacije koje se oslanjaju na Ubuntu kao bezbjednu platformu za svoje operacije.

 

ZAKLJUČAK

Otkriće sigurnosnih istraživača demonstrira složenu interakciju između upotrebljivosti i bezbjednosti u Linux distribucijama kao što je Ubuntu. Otkriveni propusti naglašavaju kako mehanizmi odbrane u dubini mogu nenamjerno da unesu složenost, zbog čega je neophodno uspostaviti ravnotežu između ovih konkurentskih prioriteta. Dok proaktivne mjere kompanije Canonical postavljaju standarde u industriji, ranjivosti naglašavaju potrebu za kontinuiranom saradnjom sa stručnjacima kako bi se poboljšala dugoročna AppArmor rješenja.

Otkriće propusta je pokazalo da korisnički prostori imena, vitalni za kontejnerizaciju i izolovana okruženja, izlažu površine napada jezgra sistema kada su pogrešno konfigurisani. Ovaj nalaz naglašava važnost pravilne konfiguracije i prakse očvršćivanja za ublažavanje ovih rizika. Pored toga, iako pojedinačni propusti ne mogu sami da kompromituju sisteme, oni mogu da smanje barijeru za iskorištavanje ozbiljnijih ranjivosti kao što su oštećenja memorije ili uslovnih trka.

Na kraju, treba naglasiti važnost stalne saradnje između stručnjaka u ovoj oblasti kako bi se odgovorilo na nove izazove u Linux distribucijama. Radeći zajedno, moguće je razviti efikasnije mehanizme odbrane u dubini koji balansiraju između upotrebljivosti i sigurnosti bez uvođenja nepotrebne složenosti.

 

ZAŠTITA

Evo preporuka za zaštitu od novih Ubuntu Linux bezbjednosnih propusta:

  1. Prvi i najvažniji korak je da se osigura da je Ubuntu instalacija u potpunosti ažurirana, uključujući najnovije ispravke jezgra sistema. Ovo će pomoći da se spriječi da zlonamjerni akteri iskoriste potencijalne ranjivosti koji mogu pokušati da iskoriste prednosti ovih novootkrivenih propusta;
  2. Da bi se ojačao sigurnosni položaj, sistemski administratori bi trebalo da promjene podešavanje Linux jezgra sistema kako bi ograničili promjene neprivilegovanih profila. Konkretno, moraju da osiguraju da je apparmor_restrict_unprivileged_unconfined sysctl postavka omogućena. Ovo će pomoći u sprečavanju zlonamjernog aktera da neovlašteno mijenjaju neprivilegovane profile;
  3. Ubuntu se isporučuje sa podrazumijevanim neograničenim profilima za nekoliko aplikacija koje dozvoljavaju kreiranje korisničkih imenskih prostora. Da bi se zaštitili od ovih propusta, administratori sistema bi trebalo da ograniče AppArmor profil kako bi ograničili šta zlonamjerni akter može da uradi čak i ako uspije da iskoristi jedan od propusta. Ovo će spriječiti zlonamjerne aktere da dobije više pristupa nego što je planirano;
  4. U današnjem brzom okruženju sajber bezbjednosti, tradicionalno ispravke možda neće biti dovoljno da bi se pratile nove prijetnje poput ovih propusta unutar Ubuntu operativnog sistema. Primjena virtuelnih ispravki i ublažavanja u realnom vremenu može da obezbijedi dodatni sloj zaštite od ovakvih ranjivosti tako što brzo neutrališe prijetnju pre nego što izazove značajnu štetu;
  5. Otkriće ovih Ubuntu Linux bezbjednosnih propusta naglašava potrebu da organizacije usvoje proaktivne strategije sajber bezbjednosti koje prevazilaze tradicionalnu reaktivnu primjenu ispravki. Ovo uključuje primjenu ublažavanja u realnom vremenu, virtuelne ispravke i druge mjere dizajnirane da brzo neutrališu nove prijetnje poput ovih propusta;
  6. Kako bi se ostalo ispred potencijalnih bezbjednosnih rizika, od suštinskog je značaja za organizacije da sprovode redovne bezbjednosne revizije i procjene rizika. Ove vježbe mogu pomoći da se identifikuju ranjivosti pre nego što ih zlonamjerni akteri iskoriste, omogućavajući sistemskim administratorima da preduzmu proaktivne mjere za ublažavanje prijetnje;
  7. Kako se pejzaž sajber bezbjednosti se stalno razvija, sa novim prijetnjama koje se pojavljuju svakog dana, organizacije bi trebalo da investiraju u to da budu u toku sa najnovijim informacijama o novim prijetnjama i ranjivostima poput ovih bezbjednosnih propusta unutar Ubuntu operativnog sistema, da bi ostale ispred ovih rizika;
  8. U slučaju da napadač uspije da iskoristi jedan od ovih propusta, postojanje doborg plana odgovora na sajber prijetnju može pomoći da se smanji šteta i spriječi dalja eksploatacija od strane zlonamjernog aktera. Ovo bi trebalo da uključuje procedure za brzo identifikovanje i obuzdavanje prijetnji, kao i komunikaciju sa zainteresovanim stranama o svim potencijalnim rizicima;
  9. Kako bi se osiguralo da je organizacija adekvatno pripremljena da odgovori na novonastale bezbjednosne prijetnje poput ovih propusta unutar Ubuntu operativnog sistema, od suštinske je važnosti da se IT osoblju obezbijedi obuku o sajber bezbjednosti. Ovo bi trebalo da uključuje uputstva o tome kako identifikovati i ublažiti ranjivosti, kao i procedure za reagovanje na incidente;
  10. Ako organizacije nije u stanju da odredi najbolji način djelovanja ili su joj potrebne dodatne smjernice o zaštiti od ovih bezbjednosnih propusta unutar Ubuntu operativnog sistema, razmislite o angažovanju stručnjaka za sajber bezbjednost treće strane koji može dati objektivne savjete na osnovu stručnosti i iskustva u rješavanju sličnih prijetnji.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.