Sicherheitsforscher von Qualys Threat Research Unit (TRU) hab in Ubuntu gleich drei Sicherheitslücken in den Nutzer-Namespace-Beschränkungen entdeckt und im Januar 2025 an das Ubuntu Security Team gemeldet.
Anzeige
Die Info von Qualys ist mir am Abend des 27. März 2025 per Mail zugegangen. In der Mail heißt es, dass die Qualys Threat Research Unit (TRU) drei Sicherheitslücken in den Nutzer-Namespace-Beschränkungen von Ubuntu entdeckt habe.
Hintergrund zu Nutzer-Namespaces in Linux
Linux erlaubt es unprivilegierten Nutzern eigene Namespaces mit Admin-Rechten zu erstellen, was zwar für Container-Technologien nützlich ist, aber gleichzeitig das Angriffspotenzial erhöht. Ubuntu hat in Version 23.10 erste Beschränkungen eingeführt und diese in Version 24.04 standardmäßig aktiviert, um solche Angriffe zu verhindern.
Hintergrund des Ganzen
Ubuntu 23.10 und 24.04 LTS haben neue AppArmor-basierte Funktionen eingeführt, um die Angriffsfläche für unprivilegierte Benutzer-Namespaces im Linux-Kernel zu verringern. Unprivilegierte Benutzer-Namensräume sind eine Funktion im Linux-Kernel, die eingeführt wurde, um zusätzliche Sandboxing-Funktionalität für Programme wie Container-Laufzeiten bereitzustellen. Sie ermöglicht es unprivilegierten Benutzern, innerhalb einer begrenzten Umgebung Administrator- (Root-) Rechte zu erhalten, ohne ihnen erhöhte Rechte auf dem Host-System zu geben.
Unprivilegierte Benutzer-Namensräume wurden wiederholt für die Ausnutzung von Kernel-Schwachstellen verwendet, so dass die AppArmor-Beschränkung als Sicherheitsmaßnahme dient. Der langfristiger Plan der Ubuntu-Entwickler ist es, weitere Verschärfungsregeln in AppArmor zu implementieren, wobei der aktuelle Satz von Funktionen als Sprungbrett zu einer stärkeren Sicherheitsposition dient.
Anzeige
Die Sicherheitsforscher von Qualys 10 haben drei verschiedene Möglichkeiten identifiziert, mit denen diese Härtungsfunktion unter bestimmten Umständen umgangen werden kann.
Betroffene Ubuntu-Versionen
Die Sicherheitslücken betreffen Ubuntu 24.04 und spätere Versionen. Nutzer von Ubuntu 23.10 sind betroffen, falls sie die Einschränkungen zuvor manuell aktiviert haben. Die Schwachstellen ermöglichen es Angreifern, administrative Rechte innerhalb von Nutzer-Namespaces zu erlangen und so Kernel-Sicherheitslücken gezielt auszunutzen. Die Sicherheitslücken wurden am 15. Januar 2025 dem Ubuntu Security Team gemeldet.
Welche Möglichkeiten zur Risikominderung gibt es?
Die Empfehlung von Qualsys ist, dass Organisationen nicht nur auf Patches warten sollten, sondern auch sofortige Gegenmaßnahmen ergreifen, um Angriffe zu verhindern. Um Organisationen bei der Abwehr dieser Bedrohung zu unterstützen, bietet Qualys das TruRisk Eliminate-Modul an. Dieses Modul erlaubt es, Sicherheitsmaßnahmen direkt über die Qualys-Plattform zu implementieren, um das Risiko sofort zu reduzieren. Die Entwickler von Qualys haben erprobte Skripte bereitgestellt, um die Schwachstellen effizient zu entschärfen.
Angesprochen wurden Lösungen wie Qualys TruRisk Eliminate, mit denen das Risiko proaktiv minimiert werden kann. Weitere Informationen zur Minimierung der Angriffsfläche bietet Qualys in diesem Blog-Beitrag. Die Ubuntu-Entwickler haben im Beitrag Understanding AppArmor User Namespace Restriction weitere Informationen veröffentlicht.
Anzeige
Was ich viel erwähnenswerter finde als dass es einen bug gibt mit dem man root rechte erhalten kann, ist dass er in Ubuntu (wenn ich den Artikel richtig verstanden habe) nach über 2 Monaten immer noch nicht gefixt ist.
CANONICAL mit Snap, ähnlich wie MOZILLA mit Webextension gehen immer mehr in Richtungen, die mir nicht gefallen.
Und genau deshalb liebe und bliebe ich bei Debian.
Ich nutze zwar auch Debian, du hast die Nachricht aber ggf. missverstanden – oder ich hab's missverstanden:
Die User-Namespaces werden in Ubuntu durch eine "zusätzliche Schicht" via AppArmor abgesichert. Und diese zusätzliche Absicherung hat eine Lücke. Ubuntu hat hier also offenbar nicht an den User-Namespaces rumgebastelt.
Die User-Namespaces und deren Probleme sind Kernel-übergreifend, Debian und andere Distributationen betrifft das auch. Nur Debian sichert die Namespaces eben erst gar nicht per default ab, sondern überlässt dem Nutzer, AppArmor vernünftig einzusetzen. Dafür wird Debian oft kritisiert, aber "Profis" gefällt dies.
Ich zitiere mal eine Einschätzung:
"Das System wurde von Qualys ausgetrickst, weil Ubuntu das selbst ausgehöhlt hatte:
Bei Ubuntu 24.04 LTS ist dann die Verwendung von unprivilegierten Benutzernamensräumen für alle Anwendungen erlaubt, aber der Zugriff auf alle zusätzlichen Berechtigungen innerhalb des Namespaces verweigert worden. Dies ermöglicht mehr Anwendungen feingranuliert mit dieser Standardbeschränkung umzugehen, während gleichzeitig gegen den Missbrauch von Benutzer-Namensräumen geschützt, ergibt sich aber eine zusätzliche Angriffsfläche für den Zugriff auf den Linux-Kernel." Zitat: übersetztes Qualys Security Advisory 27.3.2025 via FD ML
Meint nichts anderes als das die Maßnahme unabsichtlich ein Tor zur Hölle, in dem Fall zur Local Privilege Escalation, aufgestoßen hat. "
Quelle: https://marius.bloggt-in-braunschweig.de/2025/03/28/qualys-drei-umgehungen-von-ubuntus-namespace-beschraenkungen-fuer-unprivilegierte-benutzer/