Нова вразливість Linux udisks дозволяє зловмисникам отримати root-права на основних дистрибутивах Linux

Зловмисники можуть скористатися двома нещодавно виявленими вразливостями локальної ескалації привілеїв (LPE), щоб отримати root-права на системах з основними дистрибутивами Linux. Першу вразливість (відстежувану як (CVE-2025-6018) було виявлено в конфігурації фреймворку Pluggable Authentication Modules (PAM) на openSUSE Leap 15 та SUSE Linux Enterprise 15, що дозволяло локальним зловмисникам отримувати привілеї користувача “allow_active”.

Інша помилка безпеки (CVE-2025-6019) була виявлена ​​в libblockdev, і вона дозволяє користувачеві “allow_active” отримувати root-доступ через daemon udisks (службу керування сховищами, яка працює за замовчуванням у більшості дистрибутивів Linux).

Хоча успішне зловживання двома недоліками як частиною ланцюжка експлойтів “від локального до root” може дозволити зловмисникам швидко отримати root-права та повністю захопити систему SUSE, недолік libblockdev/udisks також є надзвичайно небезпечним сам по собі.

«Хоча номінально потрібні привілеї ‘allow_active’, udisks постачається за замовчуванням майже на всіх дистрибутивах Linux, тому майже будь-яка система є вразливою», — сказав старший менеджер Qualys TRU Саїд Аббасі. «Методи отримання «allow_active», включаючи проблему PAM, розкриту тут, ще більше усувають цей бар’єр. Зловмисник може з мінімальними зусиллями поєднати ці вразливості для негайного доступу до root-доступу».

Підрозділ дослідження загроз Qualys (TRU), який виявив та повідомив про обидві вразливості, також розробив експлойти для перевірки концепції та успішно атакував CVE-2025-6019 для отримання root-прав у системах Ubuntu, Debian, Fedora та openSUSE Leap 15.

Адміністраторам рекомендується негайно виправити помилки

Команда консультантів з безпеки Qualys поділилася додатковими технічними деталями щодо цих двох вразливостей тут і посилалася на патчі безпеки в цій публікації Openwall.

«Root-доступ дозволяє агентам втручатися, зберігати дані та переміщуватися в інших місцях, тому один непатчений сервер ставить під загрозу весь парк серверів. Патчіть як PAM, так і libblockdev/udisks всюди, щоб усунути цей шлях», – додав Аббасі.

«Враховуючи повсюдність udisks та простоту експлойту, організації повинні ставитися до цього як до критичного, універсального ризику та негайно розгортати патчі».

В останні роки дослідники Qualys виявили кілька інших вразливостей безпеки Linux, які дозволяють зловмисникам захоплювати непатчені системи Linux, навіть у конфігураціях за замовчуванням. Серед виявлених ними недоліків безпеки є недолік у компоненті pkexec Polkit (відомому як PwnKit), один у динамічному завантажувачі ld.so glibc (Looney Tunables), ще один у файловій системі ядра (відомий як Sequoia) та один у програмі Sudo Unix (відомій як Baron Samedit).

Невдовзі після розкриття вразливості Looney Tunables в Інтернеті з’явилися експлойти для підтвердження концепції (PoC). Через місяць зловмисники почали використовувати її для крадіжки облікових даних постачальників хмарних послуг (CSP) за допомогою шкідливого програмного забезпечення Kinsing. Qualys також нещодавно виявив п’ять вразливостей LPE, запроваджених понад 10 років тому в утиліті needrestart, яка використовується за замовчуванням в Ubuntu Linux 21.04 і пізніших версіях.