Уязвимост CVE-2025-6019
Атакуващите вече могат да използват две новооткрити уязвимости за локална ескалация на привилегиите (LPE), за да получат пълен root достъп на системи, работещи с популярни Linux дистрибуции. Тези недостатъци, ако останат непоправени, представляват сериозен риск за корпоративните среди.
Съдържание
CVE-2025-6018: Неправилната конфигурация на PAM отваря вратата
Първата уязвимост, проследена като CVE-2025-6018, се намира в конфигурацията на рамката Pluggable Authentication Modules (PAM). Тя засяга openSUSE Leap 15 и SUSE Linux Enterprise 15. Тази уязвимост позволява на локалните атакуващи да повишат привилегиите си до тези на специалния потребител „allow_active“ – съществена стъпка за компрометиране на root достъп.
CVE-2025-6019: libblockdev + Udisks е равно на пълен root достъп
Втората уязвимост, CVE-2025-6019, се крие в libblockdev и засяга демона udisks, услуга за управление на съхранението, която се изпълнява по подразбиране на повечето Linux системи. Тази уязвимост позволява на потребител с „allow_active“ да повиши привилегиите директно до root. Тъй като udisks е широко разпространен и активен по подразбиране, почти всяка Linux система е изложена на риск.
Верига за експлоатация: От локален достъп до root за секунди
Атакуващите могат да комбинират тези две уязвимости във верижна експлойт „от локален към root“. Първо, те злоупотребяват с PAM уязвимостта, за да получат статус „allow_active“, след което използват udisks уязвимостта, за да получат пълен root достъп. Тази комбинация значително намалява бариерата за компрометиране, което прави възможно почти мигновеното поемане на контрол над SUSE системите.
Риск от междудистрибуции: Не е само проблем на SUSE
Въпреки че е открит в SUSE системи, изследователите демонстрираха, че CVE-2025-6019 засяга и други основни дистрибуции, включително Ubuntu, Debian и Fedora. Използвайки експлойти за доказване на концепцията (PoC), те успешно ескалираха до root права на тези платформи, потвърждавайки широката приложимост на атаката.
Root достъп: Вход към по-дълбоки заплахи
Получаването на root права е най-лошият сценарий: то позволява манипулиране на агенти, механизми за запазване на данните и странично движение между мрежите. Една машина без инсталирана корекция може да застраши сигурността на цял сървърен парк.
Действайте бързо: Универсалният риск изисква незабавно коригиране
Предвид повсеместното разпространение на udisks и лекотата, с която работи веригата от експлойти, организациите трябва да третират това като критична уязвимост. Незабавното поправяне както на PAM конфигурацията, така и на недостатъка libblockdev/udisks е от съществено значение за елиминиране на този път към компрометиране на root достъп.
Модел на постоянни заплахи за Linux
Тези недостатъци на LPE са част от нарастващата тенденция в заплахите за сигурността на Linux. Други скорошни нашумели уязвимости включват:
- PwnKit (pkexec на Polkit)
- Шантавите тунели (glibc's ld.so)
- Sequoia (слой на файловата система на ядрото)
- Baron Samedit (Ескалация на привилегиите на Sudo)
В случая с Looney Tunables, PoC кодът беше публикуван малко след разкриването. В рамките на месец се появиха реални атаки, използващи зловреден софтуер Kinsing за кражба на идентификационни данни на доставчици на облачни услуги (CSP).
Заключение: Осигурете си Linux инфраструктурата сега
Откриването на CVE-2025-6018 и CVE-2025-6019 засилва спешната нужда от непрекъснато управление на корекциите и проактивно наблюдение. Тези уязвимости представляват критичен риск от кръстосано разпространение и трябва да бъдат незабавно отстранени, за да се предотврати компрометиране на root ниво.
