Source et contexte — Qualys (Threat Research Unit) publie un avis de recherche détaillant « CrackArmor », un ensemble de neuf vulnérabilités dans AppArmor, le module de sécurité Linux par défaut sur Ubuntu, Debian et SUSE. Présentes depuis 2017 (noyau v4.11), elles exposent plus de 12,6 M de systèmes. Des PoC complets existent (non publiés), aucun CVE n’est encore attribué, et un correctif noyau immédiat est recommandé.
• Mécanisme principal: des failles de type « confused deputy » permettent à un utilisateur non privilégié de manipuler des profils AppArmor via des pseudo-fichiers système (p. ex. /sys/kernel/security/apparmor/.load, .replace, .remove), de contourner les restrictions de user namespaces et d’atteindre une exécution de code au sein du noyau. Des interactions avec des outils de confiance comme Sudo et Postfix participent à la chaîne d’exploitation.
• Impacts clés:
- Élévation de privilèges locale (root) via manipulation de profils et bugs noyau (incluant un use-after-free dans aa_loaddata) pouvant mener à des modifications de /etc/passwd et à l’obtention de root.
- Rupture d’isolation de conteneurs/espaces de noms (p. ex. création de user namespaces pleinement capacitaires via un profil « userns »).
- Déni de service: chargement de profils « deny-all » pour des services critiques (ex. sshd) ou épuisement de pile noyau lors de la suppression récursive de sous-profils profondément imbriqués, provoquant un panic et un redémarrage.
- Contournements et affaiblissements: pertes de profils lors de redémarrages/updates, bypass KASLR via lectures hors limites, exposition accrue aux attaques en chaîne.
• Portée et secteurs: AppArmor étant activé par défaut sur Ubuntu, Debian, SUSE et répandu dans les environnements cloud, Kubernetes, IoT et edge, l’exposition est large et globale. L’avis mentionne une vigilance accrue (CISA/DHS) pour des secteurs critiques US face à des scénarios disruptifs (DoS/panics) exploitables par tout utilisateur local non privilégié.
• Détection et suivi: Qualys publie des QIDs pour la détection, notamment QID 45097 (version du noyau), QID 386714 (AppArmor LPE CrackArmor) et QID 6032579 (Ubuntu AppArmor multiples vulnérabilités). Une surveillance des modifications non autorisées sous /sys/kernel/security/apparmor/ est recommandée par l’avis pour repérer une exploitation en cours.
IOCs et TTPs
- IOCs: non fournis dans l’avis.
- TTPs:
- Écriture dans les pseudo-fichiers AppArmor (.load, .replace, .remove) pour charger/remplacer/supprimer des profils.
- Chaînes « confused deputy » via Sudo/Postfix (ex. influence de variables d’environnement telles que MAIL_CONFIG) pour obtenir des actions privilégiées.
- Use-after-free (aa_loaddata) et re-cartographie mémoire aboutissant à la modification de /etc/passwd et élévation à root.
- User namespace bypass via profil « userns » appliqué à /usr/bin/time.
- DoS par suppression récursive de sous-profils profondément imbriqués (épuisement de pile, panic).
- KASLR bypass via lectures hors limites.
Conclusion: rapport de vulnérabilité de recherche publié par Qualys visant à documenter techniquement les failles « CrackArmor », quantifier l’exposition et accélérer le déploiement des correctifs.
🧠 TTPs et IOCs détectés
TTP
Écriture dans les pseudo-fichiers AppArmor (.load, .replace, .remove) pour charger/remplacer/supprimer des profils; Chaînes « confused deputy » via Sudo/Postfix (ex. influence de variables d’environnement telles que MAIL_CONFIG) pour obtenir des actions privilégiées; Use-after-free (aa_loaddata) et re-cartographie mémoire aboutissant à la modification de /etc/passwd et élévation à root; User namespace bypass via profil « userns » appliqué à /usr/bin/time; DoS par suppression récursive de sous-profils profondément imbriqués (épuisement de pile, panic); KASLR bypass via lectures hors limites.
IOC
non fournis dans l’avis.
🔗 Source originale : https://blog.qualys.com/vulnerabilities-threat-research/2026/03/12/crackarmor-critical-apparmor-flaws-enable-local-privilege-escalation-to-root