Se han descubierto nueve vulnerabilidades críticas en AppArmor, un marco de control de acceso obligatorio ampliamente utilizado en Linux. Estas vulnerabilidades, conocidas colectivamente como “CrackArmor”, permiten a usuarios locales sin privilegios escalar sus permisos a root, romper el aislamiento de contenedores y provocar fallos en operaciones del kernel.

Se han descubierto nueve vulnerabilidades críticas en AppArmor, un marco de control de acceso obligatorio ampliamente utilizado en Linux. Estas vulnerabilidades, conocidas colectivamente como “CrackArmor”, permiten a usuarios locales sin privilegios escalar sus permisos a root, romper el aislamiento de contenedores y provocar fallos en operaciones del kernel. Este problema afecta a más de 12.6 millones de sistemas Linux empresariales en todo el mundo.

Las vulnerabilidades de CrackArmor tienen su origen en la versión 4.11 del kernel de Linux, lanzada en 2017, y han permanecido sin detectar en entornos de producción durante casi nueve años.

Descubiertas por la Qualys Threat Research Unit (TRU) y reveladas públicamente el 12 de marzo de 2026, las fallas residen en la implementación de AppArmor como un Linux Security Module (LSM), no en su modelo de seguridad subyacente.

AppArmor ha sido parte del kernel principal de Linux desde la versión 2.6.36 y viene habilitado por defecto en Ubuntu, Debian y SUSE, lo que hace que su superficie de ataque sea excepcionalmente amplia en centros de datos empresariales, clústeres de Kubernetes, despliegues de IoT y plataformas en la nube.

Datos de Qualys CyberSecurity Asset Management confirman la escala de exposición: más de 12.6 millones de instancias empresariales de Linux ejecutan AppArmor habilitado por defecto, todas potencialmente vulnerables hasta que se parcheen.

Vulnerabilidades de CrackArmor

En el núcleo de CrackArmor se encuentra una vulnerabilidad de "deputy confundido", un tipo de fallo en el que un actor sin privilegios engaña a un proceso privilegiado para que realice acciones no autorizadas en su nombre.

Los atacantes explotan esto escribiendo en los pseudo-archivos de AppArmor ubicados en /sys/kernel/security/apparmor/.load, .replace y .remove, utilizando herramientas del sistema confiables como Sudo y Postfix como proxies involuntarios.

Dado que estas herramientas operan con privilegios elevados, eluden las restricciones de user-namespace que normalmente bloquearían el acceso directo del atacante, permitiendo la ejecución arbitraria de código dentro del propio kernel.

Las cadenas de ataque habilitadas por CrackArmor son variadas y graves:

• Bypass de políticas: Los usuarios sin privilegios pueden eliminar silenciosamente protecciones para demonios críticos del sistema como rsyslogd y cupsd, o cargar perfiles de denegación total para sshd y bloquear todo el acceso SSH.
• Escalada de privilegios local (LPE) a root (espacio de usuario): Al cargar un perfil que elimina CAP_SETUID de sudo y manipular la variable de entorno MAIL_CONFIG, un atacante fuerza a sudo a invocar el binario sendmail de Postfix como root, obteniendo una shell completa con privilegios de root.
• LPE en espacio del kernel: Al explotar una vulnerabilidad de use-after-free en la función aa_loaddata, los atacantes pueden reasignar memoria del kernel liberada como una tabla de páginas que mapea /etc/passwd, sobrescribiendo directamente la entrada de la contraseña de root y obteniendo acceso root mediante su.
• Escape de contenedores y namespaces: Al cargar un perfil "userns" dirigido a /usr/bin/time, los usuarios sin privilegios pueden crear namespaces de usuario con capacidades completas, socavando las mitigaciones de restricción de namespaces previamente desplegadas por Ubuntu.
• Denegación de servicio por agotamiento de pila: Los perfiles con subperfiles profundamente anidados (hasta 1,024 niveles) pueden agotar la pila del kernel de 16 KB durante la eliminación recursiva, provocando un kernel panic y un reinicio forzado del sistema.
• Bypass de KASLR: Las lecturas fuera de límites durante el análisis de perfiles filtran direcciones de memoria del kernel, derrotando la Kernel Address Space Layout Randomization y abriendo la puerta a cadenas de explotación adicionales.

A la fecha de publicación, no se han asignado identificadores CVE a las vulnerabilidades de CrackArmor. Dado que las fallas existen en el kernel de Linux upstream, solo el equipo del kernel upstream tiene la autoridad para emitir números CVE, un proceso que suele tardar entre una y dos semanas después de que una solución se estabilice en una versión estable. Los equipos de seguridad no deben permitir que la ausencia de un número CVE retrase la respuesta de remediación.

Qualys TRU ha desarrollado un código de explotación de prueba de concepto funcional que demuestra la cadena de ataque completa. Aunque el equipo ha retenido su publicación pública para permitir el despliegue de parches, la mecánica técnica de las fallas está suficientemente documentada para su validación independiente por parte de la comunidad de seguridad.

Las organizaciones que ejecutan sistemas Linux con AppArmor habilitado deben tomar las siguientes acciones sin demora:

• Aplicar todos los parches de seguridad disponibles del kernel y AppArmor para Ubuntu, Debian, SUSE y sus derivados de inmediato.
• Desplegar Qualys QID 386714 para escanear todos los endpoints Linux en busca de versiones afectadas de AppArmor y priorizar los activos expuestos a Internet.
• Monitorear /sys/kernel/security/apparmor/ en busca de cambios inesperados en los perfiles, lo que podría indicar una explotación activa.
• Usar consultas de Qualys CyberSecurity Asset Management para enumerar todos los activos de Ubuntu, Debian y SUSE con AppArmor instalado en entornos locales y en la nube.

Qualys ha confirmado que sus propios productos y plataformas no se ven afectados por las vulnerabilidades de CrackArmor.