12,6 triệu máy chủ Linux có nguy cơ bị chiếm quyền root do lỗ hổng CrackArmor

[WhiteHat Team]

Một loạt lỗ hổng nghiêm trọng vừa được phát hiện trong AppArmor, cơ chế kiểm soát truy cập bắt buộc của Linux, có thể mở đường cho kẻ tấn công chiếm toàn quyền hệ thống. Nhóm lỗi này được đặt tên chung là CrackArmor, bao gồm 9 lỗ hổng cho phép người dùng cục bộ không có đặc quyền leo thang lên quyền root, phá vỡ cơ chế cô lập container và thậm chí làm sập nhân hệ điều hành. Theo ước tính, hơn 12,6 triệu máy chủ Linux trong môi trường doanh nghiệp có thể bị ảnh hưởng.
​

​

Các lỗ hổng bắt nguồn từ Linux kernel phiên bản 4.11, phát hành từ năm 2017, các lỗ hổng đã tồn tại trên các hệ thống Linux đang vận hành thực tế của doanh nghiệp suốt gần 9 năm mà không bị phát hiện. Nhóm nghiên cứu Qualys Threat Research Unit đã tìm ra vấn đề và công bố thông tin vào ngày 12/3/2026. Đáng chú ý, các lỗ hổng này không nằm ở mô hình bảo mật của AppArmor mà xuất phát từ cách cơ chế này được triển khai trong vai trò mô-đun bảo mật của Linux.

AppArmor đã được tích hợp vào kernel chính thức từ phiên bản 2.6.36 và được bật sẵn trên nhiều bản phân phối phổ biến như Ubuntu, Debian và SUSE. Điều này khiến phạm vi ảnh hưởng trở nên rất rộng, trải dài từ trung tâm dữ liệu doanh nghiệp, các cụm Kubernetes, hệ thống IoT cho đến hạ tầng cloud. Dữ liệu từ hệ thống quản lý tài sản an ninh của Qualys cho thấy có hơn 12,6 triệu hệ thống Linux doanh nghiệp đang chạy AppArmor ở trạng thái mặc định và có thể bị khai thác cho đến khi được vá.

Theo các nhà nghiên cứu, chuỗi tấn công CrackArmor bắt nguồn từ lỗ hổng confused deputy, xảy ra khi một tiến trình có đặc quyền bị lợi dụng để thực hiện các hành động trái phép thay cho người dùng không có quyền. Trong kịch bản này, kẻ tấn công có thể ghi dữ liệu vào tệp giả lập của hệ thống của AppArmor nằm trong thư mục /sys/kernel/security/apparmor như .load, .replace và .remove.

Thay vì truy cập trực tiếp, kẻ tấn công lợi dụng các công cụ hệ thống đáng tin cậy như sudo hoặc Postfix làm trung gian. Vì các công cụ này hoạt động với quyền cao hơn nên chúng có thể vượt qua các hạn chế của user namespace, qua đó cho phép kẻ tấn công thực thi mã tùy ý trong kernel.

Chuỗi khai thác từ CrackArmor có thể dẫn đến nhiều kịch bản tấn công nghiêm trọng. Trong một số trường hợp, kẻ tấn công có thể âm thầm gỡ bỏ các chính sách bảo vệ dành cho những dịch vụ hệ thống quan trọng như rsyslogd và cupsd. Chúng cũng có thể nạp một profile chặn toàn bộ hoạt động của sshd, khiến truy cập SSH bị khóa hoàn toàn.

Một kịch bản khác cho phép leo thang đặc quyền từ người dùng thường lên root trong không gian người dùng. Bằng cách nạp một cấu hình loại bỏ quyền CAP_SETUID của sudo và thao túng biến môi trường MAIL_CONFIG, kẻ tấn công có thể buộc sudo gọi tới chương trình sendmail của Postfix với quyền root, từ đó mở một phiên shell root hoàn chỉnh.

Nguy hiểm hơn, một số lỗ hổng còn cho phép leo thang đặc quyền trực tiếp trong nhân hệ điều hành. Lỗi use-after-free trong hàm aa_loaddata có thể bị khai thác để tái sử dụng vùng nhớ kernel đã được giải phóng như một bảng ánh xạ bộ nhớ mới. Điều này cho phép ánh xạ tệp /etc/passwd và ghi đè trực tiếp mục mật khẩu của tài khoản root, sau đó đăng nhập root thông qua lệnh su.

CrackArmor cũng mở đường cho việc phá vỡ cơ chế cô lập container và namespace. Kẻ tấn công có thể nạp một cấu hình đặc biệt nhắm vào chương trình /usr/bin/time để tạo ra các namespace với đầy đủ đặc quyền. Điều này làm vô hiệu các biện pháp hạn chế namespace mà Ubuntu từng triển khai trước đó. Ngoài ra, những cấu hình chứa chuỗi cấu hình con lồng sâu tới 1024 cấp còn có thể làm cạn kiệt ngăn xếp 16 KB của kernel trong quá trình xóa đệ quy, dẫn tới kernel panic và buộc hệ thống phải khởi động lại.

Một lỗ hổng khác trong quá trình phân tích cấu hình còn cho phép đọc dữ liệu ngoài vùng bộ nhớ hợp lệ, làm rò rỉ địa chỉ kernel và vô hiệu hóa cơ chế ngẫu nhiên hóa không gian địa chỉ kernel (KASLR). Khi KASLR bị phá vỡ, kẻ tấn công có thể xây dựng các chuỗi khai thác phức tạp hơn nhằm chiếm quyền điều khiển hoàn toàn hệ thống.

Tính đến thời điểm công bố, các lỗ hổng CrackArmor vẫn chưa được gán mã CVE do vấn đề nằm trong mã nguồn kernel Linux upstream và cần được nhóm phát triển kernel chính thức cấp mã sau khi bản vá ổn định được phát hành. Quá trình này thường mất khoảng một đến hai tuần. Các chuyên gia cảnh báo rằng việc chưa có CVE không nên khiến các đội ngũ bảo mật trì hoãn phản ứng.

Trước rủi ro từ CrackArmor, các tổ chức đang vận hành hệ thống Linux có bật AppArmor được khuyến nghị thực hiện ngay các biện pháp sau:​

• Cập nhật ngay các bản vá bảo mật kernel và AppArmor mới nhất do nhà cung cấp phát hành cho Ubuntu, Debian, SUSE và các bản phân phối liên quan.​
• Triển khai Qualys QID 386714 để quét toàn bộ các điểm cuối Linux nhằm phát hiện phiên bản AppArmor bị ảnh hưởng, đồng thời ưu tiên xử lý các hệ thống tiếp xúc trực tiếp với Internet.​
• Giám sát thư mục /sys/kernel/security/apparmor/ để phát hiện các thay đổi cấu hình bất thường, vì đây có thể là dấu hiệu cho thấy hệ thống đang bị khai thác.​
• Sử dụng các truy vấn trong Qualys CyberSecurity Asset Management để kiểm kê toàn bộ hệ thống Ubuntu, Debian và SUSE có cài đặt AppArmor trong cả môi trường tại chỗ và hạ tầng cloud.​

​

Theo Cyber Security News​