Linux rendszerekben leselkedő root kockázat: CVE-2025-6019 sebezhetőség
Table of Contents
A sebezhetőség megértése
A CVE-2025-6019 egy helyi jogosultság-eszkalációs (LPE) sebezhetőség, amely jelentős veszélyt jelent a Linux rendszerekre. A Qualys kutatói által felfedezett hiba a libblockdev csomagban található, és az udisks démonon keresztül kihasználható – ez egy olyan komponens, amely alapértelmezés szerint megtalálható a legtöbb Linux disztribúcióban. Egy másik, közzétett sebezhetőséggel, a CVE-2025-6018-cal összekapcsolva lehetővé teszi egy átlagos bejelentkezett felhasználó számára, hogy másodpercek alatt root hozzáférésig terjedő jogosultságokat eszkaláljon.
A CVE-2025-6019 lényegében a bizalmi határokról szól – konkrétan arról, hogyan tudja egy látszólag ártalmatlan, „allow_active” jogosultságokkal rendelkező felhasználó megkerülni a szokásos rendszervédelmet, és korlátlan irányítást szerezni az operációs rendszer felett. Ez komoly biztonsági aggályokat vet fel, különösen a többfelhasználós Linux környezetekben.
A hétköznapitól a mindenhatóig
A CVE-2025-6019 különösen veszélyessé teszi, hogy függ a CVE-2025-6018-tól, amely a SUSE Linux disztribúciók Pluggable Authentication Modules (PAM) konfigurációjának sebezhetősége. Ez a korábbi sebezhetőség lehetővé teszi, hogy a nem privilégiumozott helyi felhasználók „allow_active” állapotba kerüljenek – ez egy olyan hozzáférési szint, amelyet jellemzően a fizikailag jelenlévő vagy grafikus felhasználói felületen vagy SSH munkameneten keresztül hitelesített felhasználók kapnak.
Miután a támadó eléri ezt a köztes hozzáférési szintet, a CVE-2025-6019 sérülékenység kihasználásával teljes root jogosultságokat szerezhet az udisks szolgáltatás használatával. A Qualys szerint ez a sebezhetőségi láncolat hatékonyan megszünteti a hagyományos szétválasztást a normál felhasználó és a rendszergazda között, ami aggasztó változást jelent a Linux biztonságának tájképén.
A valós hatás
A root hozzáférés a Szent Grál minden támadó számára. Segítségével módosíthatók a biztonsági szabályzatok, hozzáférhetnek és kiszivárogtathatják az érzékeny adatokat, perzisztens hátsó ajtókat telepíthetnek, és tetszés szerint manipulálhatják a rendszert. Olyan környezetekben, mint a megosztott munkaállomások, a felhőalapú virtuális gépek vagy a Linux alapú szerverek, egy támadó, kihasználva ezeket a hibákat, nemcsak egy rendszert, hanem potenciálisan egy egész hálózatot vagy infrastruktúrát is veszélyeztethet.
Ez nem elméleti aggály. A Qualys már kifejlesztett koncepcióbizonyítási (PoC) megoldásokat, amelyek megerősítik, hogy a sebezhetőség több népszerű Linux disztribúciót is érint, beleértve az Ubuntut, a Debiant, a Fedorát és az openSUSE-t. Az udisks komponens széles körű jellege azt jelenti, hogy számos rendszer tudtán kívül is ki lehet téve a támadásnak.
Mi van a függöny mögött: Udisks és Libblockdev
Az Udisks egy olyan szolgáltatás, amely interfészeket biztosít a tárolóeszközök kezeléséhez. Bár a használhatóság és az automatizálás javítására tervezték, új támadási felületeket is bevezet – különösen akkor, amikor felhasználói engedélyekkel és szabályzatokkal, például az allow_active- vel lép interakcióba. A Libblockdev, a lemezműveletek mögött álló könyvtár, a CVE-2025-6019 lényege. Alacsony szintű hozzáférést biztosít az eszközfunkciók blokkolásához, és ebben az esetben nem korlátozza megfelelően a műveleteket a nem megfelelő jogosultságokkal rendelkező felhasználók számára.
Ez a felügyelet kritikussá válik, ha a PAM sajátosságaival és a Polkit megbízhatósági feltételezéseivel kombinálják. A sebezhetőségek azokat a szürke zónákat használják ki, ahol az olyan szolgáltatások, mint az udisks, megbíznak az „aktívként” megjelölt felhasználókban, feltételezve, hogy biztonságban vannak – ezt a feltételezést a CVE-2025-6018 bizonyítja, hogy manipulálható.
Mérséklő intézkedések és a szállítói válasz
A jó hír az, hogy a Linux-gyártók már reagálnak. Javítások jelennek meg, és a rendszergazdáknak határozottan ajánlott, hogy amint elérhetővé válnak, alkalmazzák őket. Addig is van néhány praktikus kerülőút. Például a rendszergazdák módosíthatják az org.freedesktop.udisks2.modify-device Polkit-szabályát úgy, hogy teljes rendszergazdai hitelesítést (auth_admin) igényeljen ahelyett, hogy az engedélyezőbb allow_active beállításra hagyatkoznának.
Ezek az intézkedések megakadályozhatják a támadási láncolatot, még akkor is, ha a mögöttes sebezhetőségek továbbra is jelen vannak. Ezek azonban átmeneti megoldások, és nem helyettesíthetik a megfelelő rendszerfrissítéseket.
Több mint egy hiba
A CVE-2025-6019 sérülékenység nyilvánosságra hozatala más, a közelmúltban felmerült Linux biztonsági aggályokkal párhuzamosan történt, mint például a CVE-2025-6020 – egy nagy súlyosságú útvonalbejárási probléma a pam_namespace modulban. Bár nem kapcsolódik közvetlenül a problémához, rávilágít a helyi jogosultsághatárok biztosításának szélesebb körű kihívására Linuxon. Az ilyen típusú problémák, bár távolról sem kihasználhatók, különösen veszélyesek, ha a helyi befolyás már kialakult – akár egy belső személy, egy feltört felhasználói fiók vagy adathalászat révén.
Előretekintés
A CVE-2025-6019 arra emlékeztet minket, hogy még a megbízható és széles körben használt komponensek is kizsákmányolási pontokká válhatnak, ha a felhasználói bizalommal és hozzáféréssel kapcsolatos feltételezéseket nem ellenőrzik gondosan. Mivel a Linux továbbra is mindent működtet a személyes eszközöktől a vállalati infrastruktúráig és a felhőalapú környezetekig, a javításkezelési és hozzáférés-vezérlési szabályzatok ébersége minden eddiginél fontosabb.
A rendszergazdáknak, a fejlesztőknek és a biztonsági szakembereknek ezeket a megállapításokat cselekvésre való felhívásként kell kezelniük – nemcsak a javítások elvégzésére, hanem a helyi felhasználói jogosultságok strukturálásának és érvényesítésének újragondolására is. Egy olyan világban, ahol a „helyi-root” átállás pillanatok alatt megtörténhet, a réteges védelem és a proaktív karbantartás továbbra is a legjobb védelmi vonal.
