كشف باحثو الأمن السيبراني في وحدة أبحاث التهديدات التابعة لشركة Qualys (TRU) عن تسع ثغرات أمنية خطيرة في وحدة AppArmor ضمن نواة نظام التشغيل Linux، أطلق عليها اسم CrackArmor. هذه الثغرات، التي تعود جذورها إلى عام 2017، يمكن أن يستغلها مستخدمون غير مميزين لتجاوز حماية النواة، التصعيد إلى صلاحيات Root، وإضعاف ضمانات العزل الخاصة بالحاويات.
AppArmor هو وحدة أمنية تعتمد على التحكم الإلزامي في الوصول (MAC) وتُستخدم لحماية النظام من التهديدات الداخلية والخارجية عبر تقييد التطبيقات ومنع استغلال ثغراتها. وقد أُدرج AppArmor في النواة منذ الإصدار 2.6.36.
طبيعة الهجوم وآلية الاستغلال
تُصنّف هذه الثغرات ضمن فئة Confused Deputy Vulnerabilities، حيث يُستغل برنامج ذو صلاحيات عالية ليقوم بتنفيذ أوامر ضارة نيابة عن مستخدم غير مصرح له. وفقاً لـ Qualys، يمكن للمهاجمين التلاعب بملفات AppArmor الوهمية لتعطيل الحماية أو فرض سياسات حظر كاملة، مما يؤدي إلى هجمات حجب الخدمة (DoS).
كما تسمح هذه الثغرات بتجاوز قيود User Namespace، ما يتيح تنفيذ تعليمات برمجية عشوائية داخل النواة، والوصول إلى امتيازات Root عبر تفاعلات مع أدوات مثل Sudo وPostfix. الأخطر أن هذه الثغرات قد تُستخدم للكشف عن عناوين الذاكرة (KASLR bypass) أو تعديل ملفات حساسة مثل /etc/passwd، مما يفتح الباب أمام سلاسل استغلال أكثر تعقيداً.
تهديدات على العزل والحاويات
واحدة من أبرز تداعيات CrackArmor هي قدرتها على تمكين المستخدمين غير المصرح لهم من إنشاء User Namespace كامل الصلاحيات، متجاوزين بذلك القيود التي تفرضها توزيعات مثل Ubuntu عبر AppArmor. هذا يعني عملياً انهيار ضمانات أساسية مثل:
- عزل الحاويات (Container Isolation)
- تطبيق مبدأ أقل الامتيازات (Least-Privilege Enforcement)
- تعزيز الخدمات الأمنية (Service Hardening)
حجم التأثير وأهمية التحديثات
تؤثر هذه الثغرات على جميع نوى Linux منذ الإصدار 4.11، وعلى أي توزيعة تعتمد AppArmor بشكل افتراضي، مثل Ubuntu وDebian وSUSE. وتشير التقديرات إلى أن أكثر من 12.6 مليون نظام Linux مؤسسي يعمل حالياً مع AppArmor مفعّل بشكل افتراضي، ما يجعل الخطر واسع النطاق.
أكدت شركة Qualys أنها لن تنشر الأكواد التجريبية (PoC) الخاصة بالثغرات حالياً لإتاحة الوقت أمام المؤسسات لتثبيت التحديثات وتقليل التعرض للخطر. وأوصت بضرورة تطبيق تحديثات النواة فوراً، إذ لا توفر الحلول المؤقتة نفس مستوى الأمان الذي يقدمه الكود المعدل من قبل الموردين.
