Lỗ hổng CVE-2025-6019
Kẻ tấn công hiện có thể khai thác hai lỗ hổng leo thang đặc quyền cục bộ (LPE) mới được phát hiện để có được quyền truy cập gốc đầy đủ trên các hệ thống chạy các bản phân phối Linux phổ biến. Những lỗ hổng này, nếu không được vá, sẽ gây ra rủi ro nghiêm trọng cho môi trường doanh nghiệp.
Mục lục
CVE-2025-6018: Cấu hình sai PAM mở ra cánh cửa
Lỗ hổng đầu tiên, được theo dõi là CVE-2025-6018, nằm trong cấu hình của khuôn khổ Pluggable Authentication Modules (PAM). Lỗ hổng này ảnh hưởng đến openSUSE Leap 15 và SUSE Linux Enterprise 15. Lỗ hổng này cho phép kẻ tấn công cục bộ leo thang đặc quyền của chúng lên người dùng đặc biệt 'allow_active'—một bước đệm thiết yếu để xâm phạm root.
CVE-2025-6019: libblockdev + Udisks bằng quyền Root đầy đủ
Lỗ hổng thứ hai, CVE-2025-6019, nằm trong libblockdev và ảnh hưởng đến daemon udisks, một dịch vụ quản lý lưu trữ chạy theo mặc định trên hầu hết các hệ thống Linux. Lỗ hổng này cho phép người dùng 'allow_active' nâng cao đặc quyền trực tiếp lên root. Vì udisks được triển khai rộng rãi và hoạt động theo mặc định, nên hầu như bất kỳ hệ thống Linux nào cũng có nguy cơ.
Chuỗi khai thác: Từ quyền truy cập cục bộ đến Root trong vài giây
Kẻ tấn công có thể kết hợp hai lỗ hổng này thành một khai thác chuỗi 'local-to-root'. Đầu tiên, chúng lợi dụng lỗ hổng PAM để đạt được trạng thái 'allow_active', sau đó lợi dụng lỗ hổng udisks để có được quyền truy cập root đầy đủ. Sự kết hợp này làm giảm đáng kể rào cản xâm phạm, giúp có thể chiếm quyền kiểm soát hệ thống SUSE gần như ngay lập tức.
Rủi ro phân phối chéo: Không chỉ là vấn đề của SUSE
Mặc dù được phát hiện trong các hệ thống SUSE, các nhà nghiên cứu đã chứng minh rằng CVE-2025-6019 cũng ảnh hưởng đến các bản phân phối chính khác, bao gồm Ubuntu, Debian và Fedora. Sử dụng các khai thác bằng chứng khái niệm (PoC), họ đã leo thang thành công đến các đặc quyền gốc trên các nền tảng này, xác nhận khả năng áp dụng rộng rãi của cuộc tấn công.
Quyền truy cập gốc: Cổng vào các mối đe dọa sâu hơn
Việc giành được quyền root là trường hợp xấu nhất: nó cho phép tác nhân can thiệp, cơ chế duy trì và di chuyển ngang qua các mạng. Một máy không được vá có thể gây nguy hiểm cho tính bảo mật của toàn bộ đội máy chủ.
Hành động nhanh chóng: Rủi ro toàn cầu đòi hỏi phải vá lỗi ngay lập tức
Với sự phổ biến của udisks và sự dễ dàng mà chuỗi khai thác hoạt động, các tổ chức phải coi đây là một lỗ hổng nghiêm trọng. Việc vá ngay lập tức cả cấu hình PAM và lỗ hổng libblockdev/udisks là điều cần thiết để loại bỏ con đường này dẫn đến sự xâm phạm gốc.
Một mẫu các mối đe dọa dai dẳng của Linux
Những lỗ hổng LPE này là một phần của xu hướng ngày càng gia tăng trong các mối đe dọa bảo mật Linux. Các lỗ hổng nổi bật gần đây khác bao gồm:
- PwnKit (pkexec của Polkit)
- Looney Tunables (ld.so của glibc)
- Sequoia (Lớp hệ thống tập tin hạt nhân)
- Nam tước Samedit (Tăng đặc quyền Sudo)
Trong trường hợp của Looney Tunables, mã PoC đã được phát hành ngay sau khi tiết lộ. Trong vòng một tháng, các cuộc tấn công thực tế đã xuất hiện bằng cách sử dụng phần mềm độc hại Kinsing để đánh cắp thông tin xác thực của nhà cung cấp dịch vụ đám mây (CSP).
Kết luận: Bảo vệ cơ sở hạ tầng Linux của bạn ngay bây giờ
Việc phát hiện ra CVE-2025-6018 và CVE-2025-6019 củng cố nhu cầu cấp thiết về quản lý bản vá liên tục và giám sát chủ động. Các lỗ hổng này đại diện cho rủi ro phân phối chéo quan trọng và phải được giải quyết ngay lập tức để ngăn chặn sự xâm phạm ở cấp độ gốc.
