In AppArmor, een Linux Security Module standaard actief op Ubuntu, Debian en SUSE, zijn negen kritieke kwetsbaarheden gevonden. Samen worden ze aangeduid als CrackArmor. De kwetsbaarheden stellen onbevoegde gebruikers in staat kernelbeschermingen te omzeilen, root-rechten te verkrijgen en container-isolatie te doorbreken.
Dat ontdekten onderzoekers van Qualys. Samen vormen ze de zogenoemde CrackArmor-advisering. De gebreken bestaan al sinds 2017 (kernelversie v4.11) en raken meer dan 12,6 miljoen enterprise Linux-instanties wereldwijd. AppArmor is het standaard Mandatory Access Control-mechanisme voor Ubuntu, Debian en SUSE. Het wordt breed ingezet in cloud-omgevingen, Kubernetes, IoT en edge-infrastructuur.
Hoe de aanval werkt
De kwetsbaarheden maken gebruik van een confused deputy-aanval. Een onbevoegde gebruiker kan daarbij een privileged proces manipuleren om namens hem handelingen uit te voeren, zonder zelf over de benodigde rechten te beschikken. Concreet misbruiken aanvallers tools als Sudo of Postfix om AppArmor-profielen aan te passen via pseudo-bestanden als /sys/kernel/security/apparmor/.load en .replace.
Dit omzeilt user-namespace-restricties en maakt het uitvoeren van willekeurige code in de kernel mogelijk. Gevolgen zijn onder meer local privilege escalation (LPE) naar root, denial-of-service via stack-exhaustion en KASLR-bypasses via out-of-bounds reads. Ook container-isolatie is daardoor niet langer gegarandeerd.
Qualys TRU heeft Proof of Concept-exploits ontwikkeld die de volledige aanvalsketen demonstreren. Die worden niet publiek vrijgegeven, maar zijn gedeeld met de betrokken securityteams om patches te versnellen. “CrackArmor bewijst dat zelfs de meest robuuste bescherming omzeild kan worden zonder beheerdersrechten. Voor CISO’s betekent dit dat alleen patchen niet voldoende is; we moeten onze hele aanname over wat ‘standaard’ configuraties voor onze infrastructuur betekenen, herzien”, aldus Dilip Bachwani, CTO van Qualys.
Alle Linux-kernels vanaf v4.11 zijn kwetsbaar op distributies die AppArmor integreren. Debian heeft op 12 maart 2026 een securityupdate uitgebracht die de kwetsbaarheden adresseert. Ubuntu en SUSE werken aan vergelijkbare patches.
Qualys raadt aan om vendor-kernelpatches onmiddellijk toe te passen en monitoring in te stellen op /sys/kernel/security/apparmor/ voor ongeautoriseerde profielwijzigingen.