Root за минуту: 9-летняя дыра в AppArmor оставляет 12 млн Linux-систем без защиты
Исследователи Qualys Threat Research Unit обнаружили девять уязвимостей в модуле безопасности AppArmor, которые существовали с 2017 года (с версии ядра v4.11) и затрагивают более 12,6 млн систем по всему миру. Проблемы классифицируются как «confused deputy» — недоверенный локальный пользователь может манипулировать профилями безопасности через псевдо-файлы /sys/kernel/security/apparmor/.load, .replace и .remove, обходя ограничения пользовательских пространств имен и выполняя произвольный код в ядре.
AppArmor включен по умолчанию в Ubuntu, Debian, SUSE и их производных, а также широко используется в контейнерных средах (Kubernetes) и edge-устройствах. Это делает уязвимости критическими для всей инфраструктуры, поскольку любой локальный доступ (например, через скомпрометированную учетную запись или веб-шелл) становится вектором для полной компрометации хоста.
Технически атака строится на загрузке или замене профилей безопасности без прав root. Злоумышленник может заблокировать доступ к критическим сервисам (например, sshd), загрузив «deny-all» профиль, вызвать отказ в обслуживании (kernel panic) через рекурсивное удаление глубоко вложенных подпрофилей, что приводит к переполнению стека ядра на архитектуре x86-64, а также повысить привилегии до root, манипулируя переменными окружения при работе с sudo и Postfix (user-space LPE) или эксплуатируя use-after-free в функции aa_loaddata для перезаписи /etc/passwd (kernel-space LPE).
Особую опасность представляет возможность обхода пользовательских пространств имен: загрузка профиля «userns» для /usr/bin/time позволяет непривилегированному пользователю создавать полностью привилегированные пространства имен, отключая штатные ограничения Ubuntu.
Qualys разработала Proof of Concept, демонстрирующий полную цепочку эксплуатации, но публичный релиз эксплоитов отложен до установки патчей. CVE-идентификаторы пока не присвоены (они появятся через 1–2 недели после выхода стабильных обновлений ядра), однако это не снижает критичности ситуации.
Всем администраторам рекомендуется немедленно установить обновления ядра от вендоров дистрибутивов, а также мониторить изменения в /sys/kernel/security/apparmor/ на предмет несанкционированной модификации профилей. Qualys уже выпустила QID 386714 для сканирования уязвимости.
Теги:
похожие материалы
«Газинформсервис» представил квартальное обновление Efros DefOps 2.14: диагностика RADIUS, интеграция с Check Point и совместимость с Ред ОС 8
Компания «Газинформсервис» выпустила релиз 2.
RIGF 2026: в России построен комплексный цифровой суверенитет
Современные операторы связи сталкиваются с беспрецедентными вызовами: взрывном рост трафика, усложнением архитектуры сетей, участившиеся кибератаки и постоянно растущие ожидания абонентов от качества и непрерывности сервиса.
22 из 30 популярных российских Android-приложений умеют выявлять VPN
RKS Global опубликовала исследование, в котором утверждает, что 22 из 30 популярных российских Android-приложений умеют определять наличие VPN на устройстве, а 19 из них еще и передают этот статус на сервер.
Сайт CPUID взломали и сутки раздавали STX RAT под видом CPU-Z и HWMonito
Сайт CPUID, через который распространяются CPU-Z, HWMonitor, HWMonitor Pro и PerfMonitor, был скомпрометирован.
Дуров заявил, что Telegram за 12 лет не раскрыл ни одного байта переписки пользователей
Павел Дуров заявил, что за всю 12-летнюю историю Telegram не раскрыл ни одного байта сообщений пользователей.
Мошенники начали делать россиян «админами» чужих каналов для шантажа
Мошенники начали использовать новую схему давления через Telegram-каналы.
Мошенники начали рассылать фальшивые письма о долгах по членским взносам
Т-Банк предупредил о новой схеме мошенничества с поддельными письмами об оплате членских взносов.
«Боцман» 3.2: больше контроля для ИБ и удобства для разработчиков
Компания «Платформа Боцман» (входит в «Группу Астра») выпустила новую версию корпоративного решения для управления контейнерными средами — «Боцман» 3.
Анатомия ландшафта киберугроз: ИТ-сектор вытеснил финансы из тройки самых атакуемых отраслей в 2025 году
По данным глобального отчёта «Анатомия ландшафта киберугроз» от экспертов центра сервисов по кибербезопасности «Лаборатории Касперского», государственные учреждения и промышленность остаются самыми привлекательными целями для злоумышленников — в 2025 году на них пришлось больше всего инцидентов высокой критичности.
В Коврове состоится конференция по вопросам безопасности объектов и территорий «БРОНЯ-2026»
Мероприятие объединит представителей силовых ведомств, разработчиков средств защиты и научное сообщество.