Foram descobertas três brechas nas restrições de namespace de usuário não privilegiado do Ubuntu Linux, permitindo que hackers locais explorem vulnerabilidades em componentes do kernel.
Essas falhas possibilitam que usuários locais, sem privilégios administrativos, criem namespaces com capacidades administrativas completas. Os problemas afetam o Ubuntu 23.10 — onde as restrições foram introduzidas — e o Ubuntu 24.04, que já traz essas restrições ativadas por padrão.
Namespaces de usuário no Linux permitem que o usuário atue como root dentro de um ambiente isolado (namespace), sem ter os mesmos privilégios no sistema principal. Para mitigar riscos, o Ubuntu passou a aplicar restrições baseadas no AppArmor a partir da versão 23.10, e as tornou padrão na versão 24.04.
Pesquisadores da empresa de segurança e conformidade em nuvem Qualys identificaram três formas distintas de contornar essas proteções. Segundo eles, "cada bypass permite que invasores locais criem namespaces com privilégios administrativos totais, facilitando a exploração de falhas no kernel que exigem altos privilégios dentro de um ambiente restrito".
Apesar de perigosas, essas técnicas não oferecem controle total do sistema por si só, mas representam uma ameaça significativa quando combinadas com outras vulnerabilidades do kernel. As três técnicas descobertas são:
Bypass via aa-exec: Utiliza o comando aa-exec para executar programas sob perfis AppArmor permissivos (como trinity, chrome ou flatpak), que autorizam a criação de namespaces com privilégios elevados.
Bypass via busybox: O shell busybox, instalado por padrão no Ubuntu Server e Desktop, está associado a um perfil AppArmor permissivo. Um hacker pode usá-lo para executar unshare e obter acesso administrativo dentro de um namespace.
Bypass via LD_PRELOAD: Explora a variável de ambiente LD_PRELOAD para injetar uma biblioteca compartilhada em um processo confiável (como o Nautilus), permitindo a criação de um namespace privilegiado a partir desse processo.
A Qualys notificou a equipe de segurança do Ubuntu em 15 de janeiro e coordenou o anúncio público. No entanto, o bypass via busybox foi descoberto de forma independente pelo pesquisador Roddux, que publicou os detalhes em 21 de março.
Resposta da Canonical e medidas recomendadas
A Canonical, responsável pelo Ubuntu, reconheceu as descobertas da Qualys e confirmou que está trabalhando para melhorar as proteções oferecidas pelo AppArmor. No entanto, a empresa afirmou que não considera as brechas como vulnerabilidades propriamente ditas, mas como limitações de um mecanismo de segurança complementar (defense-in-depth). Por isso, os ajustes serão lançados nos ciclos regulares de atualização, sem correções emergenciais.
Em um boletim oficial publicado no Ubuntu Discourse, a Canonical compartilhou recomendações para reforçar a segurança dos sistemas afetados:
Ativar kernel.apparmor_restrict_unprivileged_unconfined=1 para bloquear o abuso do aa-exec (desativado por padrão).
Desativar perfis AppArmor amplos para o busybox e o Nautilus, que permitem a criação de namespaces.
Aplicar, opcionalmente, um perfil AppArmor mais restritivo ao bwrap (Bubblewrap), usado por aplicativos como o Nautilus.
Utilizar o comando aa-status para identificar e desabilitar outros perfis com permissões excessivas.
Via - BC
