ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานช่องโหว่ CrackArmor ในระบบรักษาความปลอดภัย AppArmor บน Linux
โดยช่องโหว่ดังกล่าวเปิดโอกาสให้ผู้โจมตีสามารถยกระดับสิทธิ์การเข้าถึงระบบไปสู่ระดับ Root ส่งผลให้ระบบมีความเสี่ยงถูกโจมตีและถูกยึดครองได้ [1]
รายละเอียดเหตุการณ์
นักวิจัยด้านความปลอดภัยของบริษัท Qualys (Qualys Threat Research Unit – TRU) พบช่องโหว่ด้านความปลอดภัย 9 รายการ ในระบบควบคุมสิทธิ์ของระบบปฏิบัติการ Linux ซึ่งเป็นกลไกลด้านความปลอดภัยที่เรียกว่า AppArmor โดยช่องโหว่ดังกล่าวถูกตั้งชื่อว่า “CrackArmor” ช่องโหว่ดังกล่าวส่งผลกระทบต่อระบบปฏิบัติการ Linux ที่มีการใช้งาน AppArmor สำหรับควบคุมสิทธิ์การเข้าถึงของโปรแกรม เช่น Ubuntu, Debian และ SUSE Linux Enterprise ซึ่งอาจทำให้กลไกการจำกัดสิทธิ์ของระบบถูกหลีกเลี่ยง และก่อให้เกิดความเสี่ยงต่อความปลอดภัยของระบบได้
พฤติกรรมการโจมตี [2]
ช่องโหว่ CrackArmor อาศัยเทคนิคที่เรียกว่า “Confused Deputy Attack” ซึ่งเป็นการหลอกให้ process ที่มีสิทธิ์สูงดำเนินการบางอย่างแทนผู้โจมตีที่มีสิทธิ์ต่ำ ลักษณะพฤติกรรมการโจมตี ได้แก่
ในบางกรณีอาจทำให้เกิด Denial-of-Service (DoS) หรือการรั่วไหลของข้อมูลในหน่วยความจำ
แนวทางการป้องกันและลดความเสี่ยง อัปเดตแพตช์ความปลอดภัย โดยการติดตั้ง Linux kernel security updates จากผู้พัฒนาระบบปฏิบัติการทันที จำกัดสิทธิ์ผู้ใช้ภายในระบบ หลีกเลี่ยงการให้สิทธิ์ และบัญชีที่ไม่จำเป็น เฝ้าระวังพฤติกรรมที่เกี่ยวข้องกับการแก้ไข AppArmor profileอ้างอิง
[1] https://dg.th/uv0lc38zwd
[2] https://dg.th/j5kd927lhg
[3] https://dg.th/sim9zatlky
AppArmor v2.png