CVE-2025-6019 Vulnerability
攻击者现在可以利用两个新发现的本地权限提升 (LPE) 漏洞,在运行流行 Linux 发行版的系统上获得完全 root 访问权限。如果这些漏洞得不到修补,将对企业环境构成严重风险。
目录
CVE-2025-6018:PAM 配置错误导致漏洞
第一个漏洞(编号为 CVE-2025-6018)存在于可插入身份验证模块 (PAM) 框架的配置中。该漏洞影响 openSUSE Leap 15 和 SUSE Linux Enterprise 15。此漏洞允许本地攻击者将其权限提升到特殊的“allow_active”用户权限——这是获取 root 权限的重要基石。
CVE-2025-6019:libblockdev + Udisks 等于完全根
第二个漏洞 CVE-2025-6019 位于 libblockdev 中,影响 udisks 守护进程,该守护进程是大多数 Linux 系统默认运行的存储管理服务。此漏洞允许“allow_active”用户直接将权限提升至 root 权限。由于 udisks 部署广泛且默认处于活动状态,几乎所有 Linux 系统都面临风险。
漏洞利用链:数秒内从本地访问到 root 权限
攻击者可以将这两个漏洞组合成“local-to-root”的连锁攻击。首先,他们利用 PAM 漏洞获取“allow_active”权限,然后利用 udisks 漏洞获取完全 root 权限。这种组合显著降低了入侵门槛,几乎可以立即控制 SUSE 系统。
跨发行版风险:不仅仅是 SUSE 的问题
尽管 CVE-2025-6019 是在 SUSE 系统中发现的,但研究人员证明,它也会感染其他主流发行版,包括 Ubuntu、Debian 和 Fedora。他们利用概念验证 (PoC) 漏洞,成功在这些平台上提升到 root 权限,从而证实了该攻击的广泛适用性。
Root 访问:通往更深层威胁的大门
获得 root 权限是最糟糕的情况:它允许代理篡改、持久化机制以及跨网络的横向移动。一台未打补丁的机器就可能危及整个服务器群的安全。
迅速行动:普遍存在的风险需要立即修补
鉴于udisk的普遍性以及漏洞利用链的易用性,企业必须将其视为高危漏洞。立即修补PAM配置和libblockdev/udisks漏洞,对于消除这种导致root权限被攻陷的途径至关重要。
持续存在的 Linux 威胁模式
这些 LPE 漏洞是 Linux 安全威胁日益增长趋势的一部分。其他近期备受关注的漏洞包括:
- PwnKit(Polkit 的 pkexec)
- Looney Tunables(glibc 的 ld.so)
- Sequoia(内核文件系统层)
- Baron Samedit(Sudo 权限升级)
在 Looney Tunables 事件中,PoC 代码在披露后不久就被公开。不到一个月,现实世界中就出现了使用 Kinsing 恶意软件窃取云服务提供商 (CSP) 凭证的攻击。
结论:立即保护您的 Linux 基础设施
CVE-2025-6018 和 CVE-2025-6019 的发现,再次凸显了持续补丁管理和主动监控的迫切性。这些漏洞构成了跨发行版的严重风险,必须立即修复,以防止从根本上造成危害。
