Šakninė rizika, slypinti „Linux“ sistemose: CVE-2025-6019 pažeidžiamumas
Table of Contents
Pažeidžiamumo supratimas
CVE-2025-6019 yra vietinių privilegijų eskalavimo (LPE) pažeidžiamumas, keliantis didelę grėsmę „Linux“ sistemoms. „Qualys“ tyrėjų atrastas šis trūkumas yra „libblockdev“ rinkinyje ir gali būti išnaudotas per „udisks“ demoną – komponentą, kuris pagal numatytuosius nustatymus yra daugumoje „Linux“ distribucijų. Kartu su kitu atskleistu pažeidžiamumu CVE-2025-6018 jis gali leisti įprastai prisijungusiam vartotojui per kelias sekundes padidinti teises iki root prieigos.
Iš esmės CVE-2025-6019 yra apie pasitikėjimo ribas – konkrečiai, kaip, regis, nekenksmingas vartotojas, turintis „allow_active“ teises, gali apeiti įprastą sistemos apsaugą ir įgyti neribotą operacinės sistemos valdymą. Tai kelia rimtų saugumo problemų, ypač daugelio vartotojų „Linux“ aplinkose.
Nuo paprasto iki visagalio
CVE-2025-6019 ypač pavojingą daro jo priklausomybė nuo CVE-2025-6018 – „Pluggable Authentication Modules“ (PAM) konfigūracijos pažeidžiamumo „SUSE Linux“ distribucijose. Šis ankstesnis pažeidžiamumas leidžia neprivilegijuotam vietiniam vartotojui pasiekti „allow_active“ būseną – prieigos lygį, kuris paprastai suteikiamas vartotojams, kurie fiziškai dalyvauja arba yra autentifikuoti per GUI arba SSH sesijas.
Kai užpuolikas pasiekia šį tarpinį prieigos lygį, CVE-2025-6019 gali būti išnaudotas norint gauti visas root teises naudojant „udisks“ paslaugą. Pasak „Qualys“, ši pažeidžiamumų grandinė efektyviai panaikina tradicinį atskyrimą tarp įprasto vartotojo ir sistemos administratoriaus – tai nerimą keliantis pokytis „Linux“ saugumo srityje.
Realaus pasaulio poveikis
Šakninė prieiga yra bet kurio užpuoliko šventasis gralis. Su ja galima keisti saugumo politikas, pasiekti ir išgauti slaptus duomenis, įdiegti nuolatines užpakalines duris ir savo nuožiūra manipuliuoti sistema. Tokiose aplinkose kaip bendros darbo stotys, debesyje talpinamos virtualios mašinos arba „Linux“ pagrindu veikiantys serveriai, užpuolikas, pasinaudodamas šiais trūkumais, gali pakenkti ne tik vienai sistemai, bet ir potencialiai visam tinklui ar infrastruktūrai.
Tai nėra teorinis susirūpinimas. „Qualys“ jau sukūrė koncepcijos įrodymo (PoC) išnaudojimo būdus, patvirtinančius, kad pažeidžiamumas paveikia kelias populiarias „Linux“ distribucijas, įskaitant „Ubuntu“, „Debian“, „Fedora“ ir „openSUSE“. Dėl plačiai paplitusio „udisks“ komponento pobūdžio daugelis sistemų gali būti paveiktos netyčia.
Kas slypi už uždangos: „Udisks“ ir „Libblockdev“
„Udisks“ yra paslauga, teikianti sąsajas atminties įrenginiams valdyti. Nors ji sukurta siekiant pagerinti naudojimo paprastumą ir automatizavimą, ji taip pat atveria naujas atakų platformas, ypač kai sąveikauja su naudotojų leidimais ir politika, pvz., „allow_active“ . „Libblockdev“, biblioteka, atsakinga už daugelį šių diskų operacijų, yra CVE-2025-6019 pagrindas. Ji suteikia žemo lygio prieigą prie įrenginio blokavimo funkcijų ir šiuo atveju tinkamai neapriboja operacijų naudotojams, neturintiems pakankamai teisių.
Ši priežiūra tampa kritiška, kai derinama su PAM ypatybėmis ir „Polkit“ pasitikėjimo prielaidomis. Pažeidžiamumai išnaudoja pilkąsias zonas, kuriose tokios paslaugos kaip „udisks“ pasitiki vartotojais, pažymėtais kaip „aktyvūs“, darant prielaidą, kad jie yra saugūs – prielaida, kurią, kaip įrodo CVE-2025-6018, galima manipuliuoti.
Švelninimo priemonės ir tiekėjo atsakas
Geros naujienos yra tai, kad „Linux“ tiekėjai jau reaguoja. Išleidžiami pataisymai, ir sistemos administratoriams primygtinai rekomenduojama juos įdiegti, kai tik jie bus prieinami. Tuo tarpu yra keletas praktinių sprendimų. Pavyzdžiui, administratoriai gali modifikuoti „Polkit“ taisyklę, skirtą „org.freedesktop.udisks2.modify-device“, kad būtų reikalaujama visiško administratoriaus autentifikavimo (auth_admin), o ne pasikliauti liberalesniu „allow_active“ nustatymu.
Šios priemonės gali užkirsti kelią pažeidžiamumų išnaudojimo grandinei, net jei pagrindiniai pažeidžiamumai vis dar yra. Tačiau tai yra laikini sprendimai ir neturėtų būti laikomi tinkamų sistemos atnaujinimų pakaitalais.
Daugiau nei vienas trūkumas
CVE-2025-6019 atskleidimas susijęs su kitomis pastaruoju metu iškilusiomis „Linux“ saugumo problemomis, tokiomis kaip CVE-2025-6020 – labai rimta kelio apėjimo problema „pam_namespace“ modulyje. Nors ir nėra tiesiogiai susijusi, ji pabrėžia platesnį iššūkį, susijusį su vietinių privilegijų ribų apsauga „Linux“ sistemoje. Tokios problemos, nors ir negali būti išnaudotos, yra ypač pavojingos, kai vietinė sistema jau yra įsitvirtinusi – nesvarbu, ar tai būtų padaryta vidinio asmens, pažeistos vartotojo paskyros ar sukčiavimo būdu.
Žvilgsnis į priekį
CVE-2025-6019 primena mums, kad net patikimi ir plačiai naudojami komponentai gali tapti išnaudojimo taškais, kai prielaidos apie naudotojų pasitikėjimą ir prieigą nėra kruopščiai patikrinamos. Kadangi „Linux“ ir toliau valdo viską – nuo asmeninių įrenginių iki įmonės infrastruktūros ir debesijos aplinkų, budrumas diegiant pataisas ir prieigos kontrolės politiką yra svarbesnis nei bet kada anksčiau.
Sistemų administratoriai, kūrėjai ir saugumo specialistai turėtų šiuos rezultatus vertinti kaip raginimą veikti – ne tik diegti pataisas, bet ir permąstyti, kaip vietinių vartotojų teisės yra struktūrizuojamos ir vykdomos. Pasaulyje, kuriame „nuo vietinio iki šakninio“ perėjimas gali įvykti akimirksniu, sluoksniuota apsauga ir aktyvi priežiūra išlieka geriausia apsaugos linija.
