Pesquisadores divulgaram um conjunto de nove vulnerabilidades críticas no módulo de segurança AppArmor, presente no kernel do Linux, que podem permitir que usuários sem privilégios elevem permissões para root, contornem proteções do sistema e comprometam o isolamento de containers.

As falhas foram identificadas pela equipe de pesquisa da Qualys e receberam o codinome CrackArmor. Segundo a empresa, os problemas existem desde 2017 e afetam kernels Linux a partir da versão 4.11. Apesar da gravidade, as vulnerabilidades ainda não receberam identificadores CVE.

O AppArmor é um módulo de segurança do Linux baseado em controle de acesso obrigatório (MAC), projetado para limitar o comportamento de aplicações e impedir que falhas de software sejam exploradas para comprometer o sistema. Ele é amplamente utilizado em distribuições corporativas como Ubuntu, Debian e SUSE, sendo ativado por padrão em muitos ambientes empresariais.

De acordo com a análise técnica, as vulnerabilidades exploram um tipo de problema conhecido como “confused deputy”, em que um programa com privilégios elevados é induzido a executar ações indevidas em nome de um usuário não autorizado. Nesse caso, invasores conseguem manipular perfis de segurança do AppArmor por meio de pseudo-arquivos, contornando restrições de namespace e executando código arbitrário no kernel.

Os pesquisadores explicam que as falhas podem ser exploradas em interações complexas com ferramentas comuns no sistema Linux, como Sudo e Postfix, permitindo escalonamento de privilégios local (Local Privilege Escalation – LPE). Além disso, as vulnerabilidades também podem ser usadas para realizar ataques de negação de serviço (DoS), explorar leituras fora dos limites de memória e até contornar mecanismos de proteção como o KASLR (Kernel Address Space Layout Randomization).

Outro risco relevante é que invasores podem manipular políticas do AppArmor para desativar proteções de serviços críticos ou aplicar regras de bloqueio total, provocando indisponibilidade do sistema. Em cenários mais graves, os ataques podem levar à modificação de arquivos sensíveis, como /etc/passwd, permitindo a criação de contas root sem senha.

Impacto em ambientes com containers

Uma das consequências mais preocupantes das falhas é a possibilidade de contornar o isolamento de containers, um mecanismo fundamental para ambientes baseados em Docker, Kubernetes e outras plataformas de virtualização leve.

Segundo os pesquisadores, o CrackArmor permite que usuários sem privilégios criem user namespaces totalmente funcionais, contornando restrições implementadas em distribuições como o Ubuntu. Isso compromete princípios essenciais de segurança, como menor privilégio, isolamento de workloads e proteção de serviços críticos.

Com o controle ampliado, invasores poderiam executar exploits mais avançados no kernel, acessar memória arbitrária ou criar cadeias de ataque que levam ao comprometimento completo do host.

Atualizações de segurança são prioridade

A Qualys informou que decidiu não divulgar provas de conceito (PoC) das falhas neste momento para dar tempo às organizações de aplicar atualizações e reduzir o risco de exploração ativa.

O problema pode afetar milhões de sistemas Linux em ambientes corporativos. Estimativas apontam que mais de 12,6 milhões de instâncias Linux empresariais utilizam AppArmor habilitado por padrão.

Diante da gravidade das falhas, especialistas recomendam que administradores realizem atualizações imediatas do kernel sempre que patches estiverem disponíveis, já que medidas temporárias de mitigação não oferecem o mesmo nível de proteção que a correção oficial do código.