Уязвимость CVE-2025-6019
Теперь злоумышленники могут использовать две недавно обнаруженные уязвимости локального повышения привилегий (LPE) для получения полного доступа root к системам, работающим под управлением популярных дистрибутивов Linux. Эти недостатки, если их не исправить, представляют серьезную угрозу для корпоративных сред.
Оглавление
CVE-2025-6018: Неправильная конфигурация PAM открывает дверь
Первая уязвимость, отслеживаемая как CVE-2025-6018, находится в конфигурации фреймворка Pluggable Authentication Modules (PAM). Она затрагивает openSUSE Leap 15 и SUSE Linux Enterprise 15. Эта уязвимость позволяет локальным злоумышленникам повышать свои привилегии до привилегий специального пользователя 'allow_active' — важный шаг к компрометации root.
CVE-2025-6019: libblockdev + Udisks эквивалентно полному руту
Вторая уязвимость, CVE-2025-6019, находится в libblockdev и влияет на демон udisks, службу управления хранилищем, которая по умолчанию запускается в большинстве систем Linux. Эта уязвимость позволяет пользователю «allow_active» повышать привилегии напрямую до root. Поскольку udisks широко распространен и активен по умолчанию, риску подвергается практически любая система Linux.
Цепочка эксплуатации: от локального доступа до root-доступа за считанные секунды
Злоумышленники могут объединить эти две уязвимости в цепочку эксплойтов «local-to-root». Сначала они используют уязвимость PAM, чтобы получить статус «allow_active», а затем используют уязвимость udisks, чтобы получить полный доступ root. Эта комбинация значительно снижает барьер для компрометации, позволяя практически мгновенно захватывать системы SUSE.
Риск кросс-дистрибутивов: проблема не только SUSE
Хотя уязвимость CVE-2025-6019 была обнаружена в системах SUSE, исследователи продемонстрировали, что она также влияет на другие основные дистрибутивы, включая Ubuntu, Debian и Fedora. Используя эксплойты Proof-of-Concept (PoC), они успешно повысили привилегии до root на этих платформах, подтвердив широкую применимость атаки.
Доступ с правами root: путь к более серьезным угрозам
Получение привилегий root — это худший сценарий: он допускает подделку агента, механизмы сохранения и горизонтальное перемещение по сетям. Одна неисправленная машина может поставить под угрозу безопасность целого парка серверов.
Действуйте быстро: всеобщий риск требует немедленного исправления
Учитывая повсеместность udisks и простоту работы цепочки эксплойтов, организации должны рассматривать это как критическую уязвимость. Немедленное исправление как конфигурации PAM, так и уязвимости libblockdev/udisks имеет важное значение для устранения этого пути к компрометации root.
Модель постоянных угроз Linux
Эти уязвимости LPE являются частью растущей тенденции угроз безопасности Linux. Другие недавние громкие уязвимости включают:
- PwnKit (pkexec от Polkit)
- Looney Tunables (ld.so glibc)
- Sequoia (уровень файловой системы ядра)
- Барон Самедит (повышение привилегий Sudo)
В случае Looney Tunables код PoC был выпущен вскоре после раскрытия. В течение месяца появились реальные атаки с использованием вредоносного ПО Kinsing для кражи учетных данных поставщика облачных услуг (CSP).
Заключение: Защитите свою инфраструктуру Linux прямо сейчас
Обнаружение CVE-2025-6018 и CVE-2025-6019 усиливает настоятельную необходимость в непрерывном управлении исправлениями и проактивном мониторинге. Эти уязвимости представляют собой критический риск перекрестного распространения и должны быть немедленно устранены, чтобы предотвратить компрометацию на корневом уровне.
