Ubuntu Linux 系统中存在三处关键安全限制绕过漏洞,允许本地攻击者提升权限并利用内核漏洞。这些漏洞影响 Ubuntu 23.10 和 24.04 LTS 系统,这些系统原本通过基于 AppArmor 的防护机制来限制命名空间滥用。
虽然这些漏洞本身无法直接获取完整的系统控制权,但当与需要 CAP_SYS_ADMIN 或 CAP_NET_ADMIN 等管理权限的内核漏洞结合使用时,将形成强大的攻击链。
Ubuntu 用户命名空间绕过技术
Qualys 威胁研究部门(TRU)发布的安全公告指出,攻击者通过三种方法绕过了 Ubuntu 的用户命名空间限制机制------该机制原本用于防止非特权用户在隔离环境中获取管理权限。
通过 aa-exec 工具绕过
默认安装的 aa-exec 工具允许切换到宽松的 AppArmor 配置文件(如 trinity、chrome 或 flatpak)。攻击者可利用此工具执行 unshare 命令来创建不受限制的命名空间:
这种方法可在命名空间内获得完整权限,从而绕过 Ubuntu 的限制机制。
通过 Busybox 绕过
默认 Busybox shell 的 AppArmor 配置文件允许不受限制地创建命名空间。攻击者可通过 Busybox 启动 shell 并执行:
此方法在 Ubuntu 服务器和桌面版上均有效。
通过 LD_PRELOAD 绕过
通过向 Nautilus(GNOME 文件管理器)等受信任进程注入恶意共享库,攻击者可利用宽松的配置文件:
该库会在进程中生成 shell,从而创建特权命名空间。
这些漏洞主要影响:
- Ubuntu 24.04 LTS:默认启用限制机制
- Ubuntu 23.10:存在限制机制但需要手动激活
用户命名空间对容器化和沙箱技术至关重要,但配置不当会暴露内核攻击面。研究人员强调,虽然这些绕过方法本身不会直接危害系统,但它们降低了利用内存损坏或竞态条件等内核漏洞的门槛。
Canonical 承认了这些限制,但将其归类为纵深防御弱点而非关键漏洞。缓解措施包括:
**内核参数调整:**启用 kernel.apparmor_restrict_unprivileged_unconfined=1 以阻止 aa-exec 滥用:
**配置文件加固:**禁用 Busybox 和 Nautilus 的宽松 AppArmor 配置文件:
**加强 bwrap 配置:**为依赖 bwrap 的应用程序(如 Flatpak)实施细粒度的命名空间控制。
管理员可使用 aa-status 审核配置文件,并通过标准 Ubuntu 渠道应用更新,但这些修复不会作为紧急补丁发布。Qualys 提供 TruRisk Eliminate 平台来自动化防御,该平台包含预测试脚本以强制执行内核参数和禁用易受攻击的配置文件,还能与 Qualys 代理集成实现集中化缓解部署,并为关键资产提供无需打补丁的风险隔离。
这一发现凸显了 Linux 发行版在平衡可用性与安全性方面面临的挑战。虽然 Ubuntu 的主动措施树立了行业标杆,但这些绕过漏洞表明纵深防御机制可能无意中引入复杂性。随着内核级漏洞利用的增加,对于同时重视正常运行时间和安全性的企业来说,TruRisk Eliminate 等解决方案和快速加固实践至关重要。
Qualys 和 Canonical 将继续合作改进 AppArmor,预计在未来的 Ubuntu 版本中发布更新。目前,管理员必须手动应用缓解措施来保护易受攻击的系统。