Linux-securitylaag super kwetsbaar: 12,6 miljoen systemen getroffen

vrijdag, 13 maart 2026 (10:09) - Techzine

In dit artikel:

Onderzoekers van Qualys hebben negen kritieke kwetsbaarheden in AppArmor ontdekt, samen aangeduid als "CrackArmor". AppArmor is de standaard Mandatory Access Control-implementatie op distributies zoals Ubuntu, Debian en SUSE en wordt veel gebruikt in cloud-, Kubernetes-, IoT- en edge-omgevingen. De fouten bestaan sinds kernelversie v4.11 (uit 2017) en treffen naar schatting meer dan 12,6 miljoen enterprise Linux-instanties wereldwijd.

Hoe het werkt: aanvallers gebruiken een confused‑deputy-aanval waarbij ze een privileged proces (bijvoorbeeld via Sudo of Postfix) manipuleren om namens een lage‑privilege gebruiker AppArmor-profielen te wijzigen via pseudo‑bestanden zoals /sys/kernel/security/apparmor/.load en .replace. Zo worden user‑namespace‑beperkingen omzeild en kan er willekeurige code in de kernel worden uitgevoerd. Mogelijke gevolgen zijn local privilege escalation naar root, denial‑of‑service (stack‑exhaustion), KASLR‑bypasses door out‑of‑bounds reads en het doorbreken van container‑isolatie.

Qualys TRU heeft proof‑of‑concept‑exploits ontwikkeld die de volledige aanvalsketen tonen; deze zijn niet publiek gemaakt maar wel gedeeld met betrokken leveranciers om patches te versnellen. Dilip Bachwani, CTO van Qualys, waarschuwt dat CrackArmor laat zien dat zelfs sterke beschermlagen zonder beheerdersrechten te omzeilen zijn en dat organisaties hun aannames over standaardconfiguraties moeten herzien.

Reactie en mitigatie: alle kernels vanaf v4.11 op distributies met AppArmor zijn kwetsbaar. Debian heeft op 12 maart 2026 een securityupdate vrijgegeven; Ubuntu en SUSE werken aan vergelijkbare patches. Qualys raadt aan vendor‑kernelpatches onmiddellijk toe te passen en realtime monitoring in te stellen op /sys/kernel/security/apparmor/ om ongeautoriseerde profielwijzigingen te detecteren.

Kortetermijnadvies voor beheerders: patchen zodra updates beschikbaar zijn, beperk gebruik van onnodig privileged tools in gedeelde omgevingen, en zet monitoring/alerting op voor wijzigingen in AppArmor‑profielen. Overweeg daarnaast compenserende controles in containeromgevingen totdat alle systemen zijn bijgewerkt.