Вразливість CVE-2025-6019
Тепер зловмисники можуть використовувати дві нещодавно виявлені вразливості локального підвищення привілеїв (LPE), щоб отримати повний root-доступ на системах з популярними дистрибутивами Linux. Ці недоліки, якщо їх не виправити, становлять серйозну загрозу для корпоративних середовищ.
Зміст
CVE-2025-6018: Неправильна конфігурація PAM відкриває двері
Перша вразливість, що відстежується як CVE-2025-6018, знаходиться в конфігурації фреймворку Pluggable Authentication Modules (PAM). Вона впливає на openSUSE Leap 15 та SUSE Linux Enterprise 15. Ця вразливість дозволяє локальним зловмисникам підвищувати свої привілеї до привілеїв спеціального користувача «allow_active» — важливого кроку для компрометації root-прав.
CVE-2025-6019: libblockdev + Udisks дорівнює повному root-праву
Друга вразливість, CVE-2025-6019, знаходиться в libblockdev і впливає на демон udisks, службу керування сховищами, яка працює за замовчуванням у більшості систем Linux. Ця вразливість дозволяє користувачеві «allow_active» підвищувати привілеї безпосередньо до root. Оскільки udisks широко розгортається та активний за замовчуванням, майже будь-яка система Linux знаходиться під загрозою.
Ланцюг експлуатації: від локального доступу до root-доступу за лічені секунди
Зловмисники можуть поєднати ці дві вразливості в ланцюговий експлойт «від локального до root». Спочатку вони використовують недолік PAM, щоб отримати статус «allow_active», а потім використовують недолік udisks, щоб отримати повний root-доступ. Таке поєднання значно знижує бар'єр для компрометації, що дозволяє майже миттєво захопити системи SUSE.
Ризик між дистрибутивами: проблема не лише SUSE
Хоча CVE-2025-6019 був виявлений у системах SUSE, дослідники продемонстрували, що він також впливає на інші основні дистрибутиви, включаючи Ubuntu, Debian та Fedora. Використовуючи експлойти, що підтверджують концепцію (PoC), вони успішно ескалювали до root-прав на цих платформах, підтверджуючи широке застосування атаки.
Root-доступ: шлях до глибших загроз
Отримання root-прав – це найгірший сценарій: це дозволяє втручання агентів, механізми персистенції та горизонтальне переміщення між мережами. Одна машина без патчів може поставити під загрозу безпеку всього парку серверів.
Дійте швидко: Universal Risk вимагає негайного виправлення
З огляду на повсюдність udisks та легкість, з якою працює ланцюжок експлойтів, організації повинні ставитися до цього як до критичної вразливості. Негайне виправлення як конфігурації PAM, так і недоліку libblockdev/udisks є важливим для усунення цього шляху до компрометації root-прав.
Модель постійних загроз для Linux
Ці недоліки LPE є частиною зростаючої тенденції загроз безпеці Linux. Інші нещодавні гучні вразливості включають:
- PwnKit (pkexec Polkit)
- Луні Тюнебльс (glibc's ld.so)
- Sequoia (рівень файлової системи ядра)
- Baron Samedit (підвищення привілеїв Sudo)
У випадку з Looney Tunables, код PoC був опублікований невдовзі після розкриття інформації. Протягом місяця з'явилися реальні атаки з використанням шкідливого програмного забезпечення Kinsing для крадіжки облікових даних постачальників хмарних послуг (CSP).
Висновок: Захистіть свою інфраструктуру Linux зараз
Виявлення CVE-2025-6018 та CVE-2025-6019 підсилює нагальну потребу в постійному управлінні виправленнями та проактивному моніторингу. Ці вразливості становлять критичний ризик перехресного поширення та повинні бути негайно усунені, щоб запобігти компрометації на кореневому рівні.
