Ryzyko roota czai się w systemach Linux: luka w zabezpieczeniach CVE-2025-6019
Table of Contents
Zrozumienie podatności
CVE-2025-6019 to luka w zabezpieczeniach lokalnej eskalacji uprawnień (LPE), która stanowi poważne zagrożenie dla systemów Linux . Odkryta przez badaczy z Qualys, ta luka znajduje się w libblockdev i może zostać wykorzystana za pośrednictwem demona udisks — komponentu domyślnie obecnego w większości dystrybucji Linuksa. W połączeniu z inną ujawnioną luką, CVE-2025-6018, może umożliwić zwykłemu zalogowanemu użytkownikowi eskalację uprawnień aż do dostępu root w ciągu kilku sekund.
W swej istocie CVE-2025-6019 dotyczy granic zaufania — konkretnie tego, jak pozornie niegroźny użytkownik z uprawnieniami „allow_active” może ominąć normalne zabezpieczenia systemu i uzyskać nieograniczoną kontrolę nad systemem operacyjnym. To rodzi poważne obawy dotyczące bezpieczeństwa, szczególnie w środowiskach Linux z wieloma użytkownikami.
Od zwyczajności do wszechmocy
To, co czyni CVE-2025-6019 szczególnie niebezpiecznym, to jego zależność od CVE-2025-6018, luki w konfiguracji Pluggable Authentication Modules (PAM) w dystrybucjach SUSE Linux. Ta wcześniejsza luka pozwala nieuprzywilejowanemu użytkownikowi lokalnemu na podniesienie statusu do „allow_active” — poziomu dostępu zazwyczaj przyznawanego użytkownikom, którzy są fizycznie obecni lub uwierzytelnieni za pośrednictwem GUI lub sesji SSH.
Gdy atakujący osiągnie ten pośredni poziom dostępu, CVE-2025-6019 może zostać wykorzystany do uzyskania pełnych uprawnień roota przy użyciu usługi udisks . Według Qualys ten łańcuch luk skutecznie eliminuje tradycyjny podział między zwykłym użytkownikiem a administratorem systemu, co jest niepokojącą zmianą w krajobrazie bezpieczeństwa Linuksa.
Wpływ na świat rzeczywisty
Dostęp do roota to święty Graal dla każdego atakującego. Dzięki niemu można modyfikować zasady bezpieczeństwa, uzyskiwać dostęp do poufnych danych i je eksfiltrować, instalować trwałe tylne furtki i dowolnie manipulować systemem. W środowiskach takich jak współdzielone stacje robocze, maszyny wirtualne hostowane w chmurze lub serwery oparte na systemie Linux atakujący wykorzystujący te wady może narazić na szwank nie tylko jeden system, ale potencjalnie całą sieć lub infrastrukturę.
To nie jest teoretyczna obawa. Qualys opracował już exploity proof-of-concept (PoC) potwierdzające, że luka dotyczy wielu popularnych dystrybucji Linuksa, w tym Ubuntu, Debian, Fedora i openSUSE. Powszechny charakter komponentu udisks oznacza, że wiele systemów może zostać nieświadomie narażonych.
Co kryje się za kurtyną: Udisks i Libblockdev
Udisks to usługa, która zapewnia interfejsy do zarządzania urządzeniami pamięci masowej. Chociaż została zaprojektowana w celu poprawy użyteczności i automatyzacji, wprowadza również nowe powierzchnie ataku — zwłaszcza gdy wchodzi w interakcję z uprawnieniami użytkownika i zasadami, takimi jak allow_active . Libblockdev, biblioteka stojąca za wieloma z tych operacji dyskowych, to rdzeń CVE-2025-6019. Zapewnia ona dostęp niskiego poziomu do funkcjonalności urządzenia blokowego i w tym przypadku nie ogranicza prawidłowo operacji dla użytkowników o niewystarczających uprawnieniach.
Ten nadzór staje się krytyczny w połączeniu z dziwactwami PAM i założeniami zaufania Polkit. Luki wykorzystują szare obszary, w których usługi takie jak udisks ufają użytkownikom oznaczonym jako „aktywni”, zakładając, że są bezpieczni — założenie, które CVE-2025-6018 udowadnia, że można manipulować.
Środki łagodzące i reakcja dostawcy
Dobra wiadomość jest taka, że dostawcy Linuksa już reagują. Wydawane są poprawki, a administratorzy systemów są stanowczo zachęcani do ich stosowania, gdy tylko staną się dostępne. W międzyczasie istnieje kilka praktycznych obejść. Na przykład administratorzy mogą zmodyfikować regułę Polkit dla org.freedesktop.udisks2.modify-device, aby wymagała pełnego uwierzytelnienia administratora (auth_admin), zamiast polegać na bardziej liberalnym ustawieniu allow_active.
Środki te mogą zapobiec łańcuchowi eksploatacji, nawet jeśli podstawowe luki w zabezpieczeniach są nadal obecne. Są to jednak rozwiązania tymczasowe i nie należy ich traktować jako substytutów właściwych aktualizacji systemu.
Więcej niż jedna wada
Ujawnienie CVE-2025-6019 pojawia się obok innych niedawnych problemów z bezpieczeństwem Linuksa, takich jak CVE-2025-6020 — problem z przechodzeniem ścieżki o wysokim stopniu zagrożenia w module pam_namespace. Choć nie jest to bezpośrednio powiązane, podkreśla szersze wyzwanie zabezpieczenia lokalnych granic uprawnień w Linuksie. Tego rodzaju problemy, choć nie są zdalnie wykorzystywane, są szczególnie niebezpieczne, gdy lokalny punkt zaczepienia jest już ustanowiony — czy to przez osobę z wewnątrz, czy też przez naruszone konto użytkownika, czy też przez phishing.
Patrząc w przyszłość
CVE-2025-6019 przypomina nam, że nawet zaufane i powszechnie używane komponenty mogą stać się punktami eksploatacji, gdy założenia dotyczące zaufania użytkowników i dostępu nie zostaną starannie zweryfikowane. Ponieważ Linux nadal napędza wszystko, od urządzeń osobistych po infrastrukturę przedsiębiorstw i środowiska chmurowe, czujność w zarządzaniu poprawkami i zasadach kontroli dostępu jest ważniejsza niż kiedykolwiek.
Administratorzy systemów, deweloperzy i specjaliści ds. bezpieczeństwa powinni traktować te ustalenia jako wezwanie do działania — nie tylko do łatania, ale także do przemyślenia, w jaki sposób lokalne uprawnienia użytkowników są strukturyzowane i egzekwowane. W świecie, w którym „lokalne do roota” może nastąpić w ciągu kilku chwil, warstwowa obrona i proaktywna konserwacja pozostają najlepszą linią ochrony.
