Ubuntu, una delle distribuzioni GNU/Linux più popolari e utilizzate al mondo, ha introdotto la sua ultima versione LTS (Long Term Support), Ubuntu 24.04, il 25 aprile 2024. Questa versione, soprannominata “Noble Numbat“, è basata sul kernel Linux 6.8 e include numerose novità, come il desktop GNOME 46 e un nuovo installer (programma di installazione) per il sistema. Tuttavia, di recente sono emerse preoccupazioni legate alla sicurezza dei Namespace non privilegiati del kernel Linux, una funzionalità che consente agli utenti senza privilegi amministrativi di creare ambienti isolati.
Cosa sono i Namespace e perché sono importanti
I Namespace sono una componente fondamentale del kernel Linux, progettata per isolare risorse di sistema come processi, rete e file system. Questa tecnologia è essenziale per il funzionamento dei container, poiché consente di creare ambienti separati in cui le applicazioni possono essere eseguite senza interferire con il sistema principale o con altri container.
In combinazione con i Control Groups (CGroups), che regolano l’accesso alle risorse hardware come CPU e memoria, i Namespace formano la base dell’architettura dei container. Tuttavia, consentire agli utenti non privilegiati di creare Namespace espande la superficie di attacco del kernel Linux, rendendo il sistema potenzialmente vulnerabile a exploit che sfruttano falle nel codice.
Le vulnerabilità scoperte da Qualys
Il team di ricerca sulle minacce di Qualys (Qualys TRU) ha recentemente identificato 3 metodi per aggirare le restrizioni sui Namespace non privilegiati implementate in Ubuntu 24.04 tramite AppArmor. AppArmor è un modulo di sicurezza del kernel Linux che utilizza profili per limitare l’accesso delle applicazioni alle risorse di sistema, creando una sorta di sandbox.
Le vulnerabilità scoperte consentono a un attaccante locale senza privilegi amministrativi di ottenere diritti completi all’interno dei Namespace utente sfruttando 3 metodi distinti che sono dettagliatamente illustrati presso questo indirizzo e, nello specifico, si riferiscono a:
- Bypass tramite aa-exec: lo strumento
aa-exec, installato di default su Ubuntu, può essere utilizzato per passare a profili AppArmor preconfigurati che permettono la creazione di Namespace utente con privilegi completi. - Bypass tramite BusyBox: la shell
busybox, anch’essa installata di default su Ubuntu, dispone di un profilo AppArmor che consente la creazione di Namespace utente con pieni diritti amministrativi. - Bypass tramite LD_PRELOAD: un attaccante può utilizzare la variabile
LD_PRELOADper caricare una libreria condivisa in programmi come Nautilus (il file manager predefinito su Ubuntu Desktop) e ottenere l’accesso completo ai Namespace utente.
Questi metodi non permettono un controllo completo del sistema in cui si inseriscono ma possono essere combinati con altre vulnerabilità del kernel Linux per aumentare i privilegi e compromettere ulteriormente la sicurezza.
La risposta di Canonical
Canonical, l’azienda dietro Ubuntu, è al corrente delle vulnerabilità e ha pubblicato linee guida dettagliate per mitigare i rischi. Le istruzioni includono:
- Abilitare l’opzione
kernel.apparmor_restrict_unprivileged_userns=1per limitare ulteriormente l’accesso ai Namespace non privilegiati. - Rimuovere o modificare i profili AppArmor permissivi associati a BusyBox e Nautilus.
- Utilizzare profili personalizzati basati su strumenti come
bwrapper controllare in modo più granulare l’accesso ai Namespace.
Queste misure possono migliorare significativamente la sicurezza del sistema fino a quando non saranno disponibili aggiornamenti ufficiali che risolvano completamente il problema.
Impatto sulle versioni di Ubuntu
Le vulnerabilità interessano tutte le versioni di Ubuntu dalla 24.04 in avanti. Sebbene le restrizioni sui Namespace non privilegiati siano state introdotte già in Ubuntu 23.10, erano disabilitate di default in quella versione. Gli utenti che utilizzano Ubuntu 24.04 o versioni successive sono invitati a verificare lo stato delle loro installazioni e ad applicare immediatamente le mitigazioni consigliate.
Per ulteriori dettagli tecnici e istruzioni complete sulle mitigazioni, si consiglia di consultare la documentazione ufficiale su Discourse o il report pubblicato da Qualys TRU.
Fonte: https://blog.qualys.com/vulnerabilities-threat-research/2025/03/27/qualys-tru-discovers-three-bypasses-of-ubuntu-unprivileged-user-namespace-restrictions
Fonte: https://www.qualys.com/2025/three-bypasses-of-Ubuntu-unprivileged-user-namespace-restrictions.txt
Fonte: https://discourse.ubuntu.com/t/understanding-apparmor-user-namespace-restriction/58007
Source: Read More
