Vulnerabilitate CVE-2025-6019
Atacatorii pot exploata acum două vulnerabilități de escaladare a privilegiilor locale (LPE) recent descoperite pentru a obține acces root complet pe sistemele care rulează distribuții Linux populare. Aceste defecte, dacă nu sunt corectate, reprezintă un risc sever pentru mediile enterprise.
Cuprins
CVE-2025-6018: Configurarea greșită a PAM deschide ușa
Prima vulnerabilitate, înregistrată ca CVE-2025-6018, rezidă în configurația framework-ului Pluggable Authentication Modules (PAM). Aceasta afectează openSUSE Leap 15 și SUSE Linux Enterprise 15. Această vulnerabilitate permite atacatorilor locali să își escaladeze privilegiile la cele ale utilizatorului special „allow_active” - o etapă esențială pentru o compromitere a securității.
CVE-2025-6019: libblockdev + Udisks este egal cu Full Root
A doua vulnerabilitate, CVE-2025-6019, se află în libblockdev și afectează daemonul udisks, un serviciu de gestionare a stocării care rulează în mod implicit pe majoritatea sistemelor Linux. Această vulnerabilitate permite unui utilizator „allow_active” să ridice privilegiile direct la root. Deoarece udisks este implementat pe scară largă și activ în mod implicit, aproape orice sistem Linux este în pericol.
Lanțul de exploatare: De la acces local la rădăcină în câteva secunde
Atacatorii pot combina aceste două vulnerabilități într-o exploatare în lanț de tip „local-to-root”. Mai întâi, abuzează de defectul PAM pentru a obține statutul „allow_active”, apoi utilizează defectul udisks pentru a obține acces root complet. Această combinație reduce semnificativ bariera în calea compromiterii, făcând posibilă preluarea aproape instantanee a sistemelor SUSE.
Riscul cross-distro: nu este doar o problemă SUSE
Deși a fost descoperit în sistemele SUSE, cercetătorii au demonstrat că atacul CVE-2025-6019 afectează și alte distribuții majore, inclusiv Ubuntu, Debian și Fedora. Folosind exploit-uri proof-of-concept (PoC), au reușit să escaladeze la privilegii de root pe aceste platforme, confirmând aplicabilitatea largă a atacului.
Accesul Root: O poartă către amenințări mai profunde
Obținerea privilegiilor de root este cel mai rău scenariu: permite manipularea agenților, mecanisme de persistență și mișcare laterală între rețele. O singură mașină neactualizată ar putea pune în pericol securitatea unei întregi flote de servere.
Acționează rapid: Riscul universal necesită aplicarea imediată a corecțiilor
Având în vedere omniprezența udisk-urilor și ușurința cu care funcționează lanțul de exploit-uri, organizațiile trebuie să trateze acest lucru ca pe o vulnerabilitate critică. Corectarea imediată atât a configurației PAM, cât și a defecțiunii libblockdev/udisks este esențială pentru a elimina această cale către compromiterea root.
Un model de amenințări persistente la adresa Linux
Aceste defecte LPE fac parte dintr-o tendință crescândă a amenințărilor de securitate Linux. Alte vulnerabilități recente de mare profil includ:
- PwnKit (pkexec-ul lui Polkit)
- Looney Tunables (ld.so al glibc)
- Sequoia (stratul sistemului de fișiere Kernel)
- Baron Samedit (escaladarea privilegiilor Sudo)
În cazul Looney Tunables, codul PoC a fost lansat la scurt timp după dezvăluire. În decurs de o lună, au apărut atacuri din lumea reală folosind malware-ul Kinsing pentru a fura acreditările furnizorului de servicii cloud (CSP).
Concluzie: Securizează-ți infrastructura Linux acum
Descoperirea vulnerabilităților CVE-2025-6018 și CVE-2025-6019 întărește nevoia urgentă de gestionare continuă a patch-urilor și monitorizare proactivă. Aceste vulnerabilități reprezintă un risc critic, de distribuție încrucișată, și trebuie abordate imediat pentru a preveni compromiterea la nivel rădăcină.
