Luka w zabezpieczeniach CVE-2025-6019
Atakujący mogą teraz wykorzystać dwie nowo odkryte luki w zabezpieczeniach lokalnej eskalacji uprawnień (LPE), aby uzyskać pełny dostęp roota w systemach obsługujących popularne dystrybucje Linuksa. Te luki, jeśli pozostaną niezałatane, stanowią poważne ryzyko dla środowisk korporacyjnych.
Spis treści
CVE-2025-6018: Nieprawidłowa konfiguracja PAM otwiera drzwi
Pierwsza luka, śledzona jako CVE-2025-6018, znajduje się w konfiguracji struktury Pluggable Authentication Modules (PAM). Dotyczy ona systemów openSUSE Leap 15 i SUSE Linux Enterprise 15. Ta luka umożliwia lokalnym atakującym eskalację uprawnień do uprawnień specjalnego użytkownika „allow_active” — niezbędnego kamienia milowego do złamania zabezpieczeń roota.
CVE-2025-6019: libblockdev + Udisks równa się pełnemu rootowi
Druga wada, CVE-2025-6019, znajduje się w libblockdev i wpływa na demona udisks, usługę zarządzania pamięcią masową, która domyślnie działa w większości systemów Linux. Ta luka umożliwia użytkownikowi „allow_active” podniesienie uprawnień bezpośrednio do poziomu roota. Ponieważ udisks jest szeroko wdrażany i domyślnie aktywny, niemal każdy system Linux jest zagrożony.
Łańcuch eksploatacji: od dostępu lokalnego do roota w ciągu kilku sekund
Atakujący mogą połączyć te dwie luki w łańcuchu exploitów „lokalny-do-root”. Najpierw nadużywają luki PAM, aby uzyskać status „allow_active”, a następnie wykorzystują lukę udisks, aby uzyskać pełny dostęp do roota. Ta kombinacja znacznie obniża barierę przed włamaniem, umożliwiając niemal natychmiastowe przejęcie systemów SUSE.
Ryzyko międzydystrybucyjne: nie tylko problem SUSE
Chociaż odkryto go w systemach SUSE, badacze wykazali, że CVE-2025-6019 dotyczy również innych głównych dystrybucji, w tym Ubuntu, Debian i Fedora. Korzystając z exploitów proof-of-concept (PoC), udało im się eskalować do uprawnień roota na tych platformach, potwierdzając szeroką stosowalność ataku.
Dostęp do roota: brama do głębszych zagrożeń
Uzyskanie uprawnień roota to najgorszy scenariusz: umożliwia manipulację agentem, mechanizmy trwałości i ruch boczny w sieciach. Jedna niezałatana maszyna może zagrozić bezpieczeństwu całej floty serwerów.
Działaj szybko: uniwersalne ryzyko wymaga natychmiastowego łatania
Biorąc pod uwagę powszechność udisków i łatwość, z jaką działa łańcuch exploitów, organizacje muszą traktować to jako krytyczną lukę. Natychmiastowe załatanie zarówno konfiguracji PAM, jak i luki libblockdev/udisk jest niezbędne, aby wyeliminować tę ścieżkę do naruszenia roota.
Wzór uporczywych zagrożeń dla systemu Linux
Te luki LPE są częścią rosnącego trendu w zagrożeniach bezpieczeństwa Linuksa. Inne niedawne, głośne luki obejmują:
- PwnKit (pkexec Polkita)
- Looney Tunables (ld.so z biblioteki glibc)
- Sequoia (warstwa systemu plików jądra)
- Baron Samedit (eskalacja uprawnień Sudo)
W przypadku Looney Tunables kod PoC został opublikowany wkrótce po ujawnieniu. W ciągu miesiąca pojawiły się ataki w świecie rzeczywistym, wykorzystujące złośliwe oprogramowanie Kinsing do kradzieży danych uwierzytelniających dostawcy usług w chmurze (CSP).
Wnioski: Zabezpiecz swoją infrastrukturę Linux już teraz
Odkrycie CVE-2025-6018 i CVE-2025-6019 wzmacnia pilną potrzebę ciągłego zarządzania poprawkami i proaktywnego monitorowania. Te luki stanowią krytyczne ryzyko krzyżowej dystrybucji i muszą zostać natychmiast rozwiązane, aby zapobiec zagrożeniu na poziomie podstawowym.
