L’equip de recerca d’amenaces de Qualys (TRU) ha publicat els detalls de CrackArmor, un conjunt de nou vulnerabilitats al mòdul AppArmor del nucli Linux. La part incòmoda és l’antiguitat del codi: la lògica defectuosa hi és des de la versió 4.11, llançada el 2017. Durant gairebé nou anys qualsevol sistema amb AppArmor actiu per defecte ha arrossegat el problema sense saber-ho.
L’AppArmor és un dels mòduls de seguretat (LSM) més estesos. Ubuntu, Debian, SUSE i les seves derivades el porten actiu de fàbrica per confinar processos mitjançant perfils que limiten a quins fitxers i capacitats pot accedir cada programa. La ironia de CrackArmor és que el mateix mecanisme pensat per contenir processos es converteix en la via d’atac.
Què és un error de “confused deputy”
El problema es classifica com a confused deputy. Un component del nucli amb privilegis actua en nom d’un usuari sense comprovar bé si aquest usuari tenia dret a demanar l’operació. En el cas de l’AppArmor, un usuari local sense privilegis pot manipular perfils de seguretat a través dels pseudofitxers exposats a /sys/kernel/security/apparmor/, recolzant-se en eines de confiança com el sudo o el Postfix per escriure canvis que mai podria fer directament. L’atacant no força el pany. Convenç qui té la clau perquè obri.
Qualys descriu diverses conseqüències concretes:
- Escalada local de privilegis fins a root mitjançant la manipulació de polítiques.
- Fuita de memòria del nucli per lectures fora de límits, que serveix per derrotar el KASLR.
- Denegació de servei per esgotament recursiu de la pila, que acaba en kernel panics.
- Sortida de l’aïllament de contenidors saltant-se les restriccions dels user namespaces d’Ubuntu, un cop directe als nodes de Kubernetes i als entorns multiinquilí.
- Càrrega de perfils “deny-all” que bloquegen l’accés legítim als serveis.
A qui afecta i amb quina gravetat
Parlem d’una escalada local: l’atacant ja necessita un compte o un procés a la màquina. No és un error explotable directament des d’Internet. Tot i així la gravetat és alta, perquè converteix qualsevol punt de suport (una web compromesa, una shell de baix privilegi, un contenidor escapable) en control total de l’amfitrió.
Qualys xifra en més de 12,6 milions els sistemes potencialment vulnerables a tot el món, repartits entre núvol, Kubernetes, IoT i entorns edge. La sèrie completa abasta onze pedaços per a nou errors: CVE-2026-23268, CVE-2026-23269 i la tanda CVE-2026-23403 a CVE-2026-23411. Tots exigeixen accés local sense privilegis. En aquest directori pots consultar la fitxa del nucli Linux per veure quines versions estan en suport.
Mitigació
La recomanació és directa: aplicar l’actualització del nucli tan bon punt la teva distribució la publiqui. Pedaçar el nucli és l’única solució fiable; les mitigacions provisionals que circulen no cobreixen tots els vectors. Debian i Ubuntu ja han tret correccions, Debian a través dels avisos DSA-6162-1 i DSA-6163-1, i Canonical amb pedaços de nucli més correccions en espai d’usuari per al sudo i el util-linux, ja que part de la cadena d’explotació passa per aquestes utilitats.
Si no pots pedaçar de seguida, val la pena vigilar /sys/kernel/security/apparmor/ per detectar canvis de perfil no autoritzats i reforçar els controls dels contenidors. Però això és un pedaç temporal. L’arreglada de debò és el nucli actualitzat i un reinici per carregar el codi corregit. Prioritza els actius exposats a Internet i els nodes de Kubernetes, on un aïllament trencat surt més car.
Font
- Qualys Threat Research Unit — CrackArmor: https://blog.qualys.com/vulnerabilities-threat-research/2026/03/12/crackarmor-critical-apparmor-flaws-enable-local-privilege-escalation-to-root
- NVD — CVE-2026-23403: https://nvd.nist.gov/vuln/detail/CVE-2026-23403