Исследователи Qualys обнаружили две локальные уязвимости повышения привилегий (CVE-2025-6018, CVE-2025-6019), которые могут быть использованы в тандеме для получения root-доступа в большинстве дистрибутивов Linux с минимальными усилиями.
Об уязвимостях (CVE-2025-6018, CVE-2025-6019)
CVE-2025-6018 влияет на конфигурацию подключаемых модулей аутентификации (PAM) в openSUSE Leap 15 и SUSE Linux Enterprise 15, и позволяет непривилегированному локальному злоумышленнику – например, злоумышленнику, вошедшему в систему через удаленный сеанс SSH – получить привилегии allow_active физически присутствующего пользователя.
Фреймворк PAM управляет аутентификацией пользователей и запуском сеансов в Linux, и уязвимость фактически является неправильной конфигурацией, которая рассматривает любой локальный вход в систему так, как если бы пользователь действительно находился в консоли.
Наличие привилегий allow_active позволяет злоумышленнику выполнить действия, необходимые для эксплуатации CVE-2025-6019, уязвимости в libblockdev, с целью повышения привилегий до уровня root.
Получив root-доступ, злоумышленник может нанести большой ущерб: отключить агенты EDR, внедрить бэкдоры, изменить конфигурацию и т. д. Таким образом, взломанная система может стать стартовой площадкой для более масштабной компрометации организации.
Саид Аббаси (Saeed Abbasi), старший менеджер по управлению продуктами для исследований в области безопасности компании Qualys, отметил, что CVE-2025-6019 можно использовать через демон udisks, который по умолчанию включен почти во все дистрибутивы Linux, а отдел исследований угроз Qualys разработал эксплойты, подтверждающие наличие и возможность использования этих уязвимостей в Ubuntu, Debian, Fedora и openSUSE Leap 15.
Технические подробности о дефектах и PoC были обнародованы. Патчи были предоставлены разработчикам дистрибутивов Linux в частном порядке на прошлой неделе.
Развертывание исправлений без задержек
Современные эксплойты с локальным доступом к руту сократили разрыв между обычным входом в систему и полным захватом системы. С помощью цепочки легитимных сервисов, таких как циклическое монтирование udisks и причуды PAM, злоумышленники, владеющие любым активным графическим интерфейсом или SSH-сессией, могут за считанные секунды преодолеть зону доверия polkits allow_active и получить права root. Ничего экзотического не требуется: каждая ссылка предустановлена на основные дистрибутивы Linux и их серверные сборки, отметил Аббаси.
CVE-2025-6018 также открывает возможности для злоумышленников, использующих другие недавно обнаруженные недостатки, требующие привилегий пользователя allow_active, указывает компания в своем сообщении.
Основные дистрибутивы Linux уже начали исправлять эти две ошибки, корректируя правила и обновляя пакеты libblockdev и udisks.
Политика polkit по умолчанию для действия org.freedesktop.udisks2.modify-device может позволить любому активному пользователю изменять устройства. Чтобы уменьшить эту проблему, необходимо изменить политику так, чтобы она требовала аутентификации администратора для этого действия, пояснил Аббаси.
Учитывая повсеместное распространение udisks и простоту эксплойта, организации должны относиться к этому как к критическому риску и незамедлительно развернуть исправления.
Комментарии (0)