Pesquisadores de segurança identificaram nove vulnerabilidades graves no AppArmor, módulo de proteção nativo do Linux. As falhas existem no sistema desde 2017 e afetam mais de 12,6 milhões de servidores empresariais ativos ao redor do mundo. O conjunto de brechas recebeu o nome de CrackArmor.
- Leia também: Hackers usam técnica Zombie ZIP para esconder malware em arquivos compactados
- Leia também: Seis Novas Famílias de Malware Android Podem Roubar Dados e Fraudar Pagamentos Pix
- Leia também: Microsoft corrige 84 vulnerabilidades no Patch Tuesday de março, incluindo duas zero-day
O AppArmor funciona como uma camada essencial de segurança dentro do Linux, definindo com precisão o que cada programa pode ou não fazer no sistema. Distribuições populares como Ubuntu, Debian e SUSE já vêm com ele ativado por padrão, o que amplia significativamente o impacto dessas falhas.
Em detalhes, o problema não está no conceito por trás do AppArmor, mas sim na forma como o código do módulo foi implementado dentro do kernel. Ou seja, o modelo de controle obrigatório de acesso continua sendo confiável — o ponto fraco está na execução prática dessa proteção.
Como o ataque funciona
Para explorar as falhas, o invasor não precisa de senha de administrador. Uma conta local comum já é suficiente, o que torna o ataque ainda mais perigoso.
A partir desse acesso inicial, o atacante escreve em pseudo-arquivos especiais dentro do kernel, localizados no diretório:
/sys/kernel/security/apparmor/
Por meio desses arquivos, é possível carregar, substituir ou remover perfis de segurança sem autorização adequada.
Esse comportamento é classificado como um ataque do tipo “confused deputy”. Esse termo descreve situações em que um componente do sistema executa ações em nome de outro sem perceber que está sendo manipulado.
Na prática, é como convencer um porteiro com acesso privilegiado a abrir uma área restrita — mesmo que o solicitante não tenha permissão direta para isso.
O que um invasor pode fazer
As consequências dessas falhas são amplas e potencialmente devastadoras. Entre os principais impactos, estão:
Escalada de privilégios
O invasor pode obter acesso root (nível máximo do sistema), assumindo controle total da máquina.
Exploração no espaço de usuário
O ataque pode envolver ferramentas comuns do sistema:
- Manipulação do comando sudo
- Uso da variável de ambiente MAIL_CONFIG
- Envio de e-mails via Postfix como root
Resultado: obtenção de um shell com privilégios totais
Exploração no nível do kernel
Uma falha do tipo use-after-free no componente aa_loaddata permite:
- Reutilizar memória liberada
- Sobrescrever diretamente o arquivo /etc/passwd
Esse arquivo armazena credenciais do sistema. Ao modificá-lo, o invasor pode redefinir a senha do root e assumir controle completo com o comando su.
Outros impactos críticos
Além da escalada de privilégios, o CrackArmor permite:
Negação de serviço (DoS)
Perfis com estruturas profundas podem causar:
- Loop recursivo no kernel
- Esgotamento da pilha (aprox. 16 KB)
- Kernel panic e reinicialização do sistema
Bloqueio de serviços essenciais
O atacante pode:
- Bloquear acesso SSH
- Remover proteções de serviços como rsyslogd e cupsd
Quebra de proteção KASLR
Permite vazar endereços de memória do kernel, facilitando ataques mais avançados.
Escape de contêineres
Usuários sem privilégios podem:
- Criar namespaces com permissões elevadas
- Burlar restrições de ambientes como Ubuntu e Kubernetes
Impacto global da falha
Os sistemas afetados vão muito além de computadores pessoais. Estão em risco:
- Infraestruturas corporativas
- Plataformas em nuvem
- Ambientes Kubernetes
- Dispositivos IoT
As falhas estão presentes desde o kernel 4.11 (lançado em 2017), representando quase oito anos de exposição silenciosa.
A Qualys estimou os 12,6 milhões de sistemas afetados com base em sua ferramenta de gestão de ativos. A empresa confirmou que seus próprios produtos não estão vulneráveis.
Contexto geopolítico
O tipo de impacto causado pelo CrackArmor é compatível com operações conduzidas por grupos patrocinados por Estados, que geralmente priorizam destruição e sabotagem.
A CISA e o Departamento de Segurança Interna dos EUA já emitiram alertas para setores críticos como:
- Energia
- Saúde
- Água
- Defesa
Isso reforça a gravidade do cenário e o potencial uso estratégico dessas falhas.
O que as empresas estão fazendo
A Qualys desenvolveu provas de conceito (PoC) que demonstram toda a cadeia de ataque, mas optou por não divulgar o código publicamente.
A divulgação foi feita de forma coordenada com:
- Ubuntu / Canonical
- Debian
- SUSE
- Mantenedores do sudo
Até o momento, nenhum identificador CVE foi atribuído, pois esse processo só é concluído após a correção entrar no kernel estável.
Importante: a ausência de CVE não significa baixo risco.
O que fazer agora
Para reduzir o risco, as equipes de segurança recomendam:
Atualizar o sistema
Aplicar imediatamente as atualizações de kernel fornecidas pelos distribuidores.
Verificar exposição
Identificar quais sistemas ainda utilizam versões vulneráveis.
Monitorar atividades suspeitas
Ficar atento a alterações no diretório:
/sys/kernel/security/apparmor/
Redobrar atenção em ambientes críticos
Infraestruturas com:
- Contêineres
- Kubernetes
- Serviços expostos
devem receber prioridade máxima na mitigação.
