В системах Linux таится корневой риск: уязвимость CVE-2025-6019
Table of Contents
Понимание уязвимости
CVE-2025-6019 — это уязвимость локального повышения привилегий (LPE), которая представляет значительную угрозу для систем Linux . Обнаруженная исследователями Qualys, эта уязвимость находится в libblockdev и может быть использована через демон udisks — компонент, присутствующий по умолчанию в большинстве дистрибутивов Linux. В сочетании с другой раскрытой уязвимостью, CVE-2025-6018, она может позволить обычному вошедшему в систему пользователю повысить привилегии вплоть до доступа root за считанные секунды.
По своей сути CVE-2025-6019 касается границ доверия — в частности, того, как, казалось бы, безобидный пользователь с привилегиями «allow_active» может обойти обычные системные защиты и получить неограниченный контроль над операционной системой. Это вызывает серьезные проблемы безопасности, особенно для многопользовательских сред Linux.
От обычного к всемогущему
Что делает CVE-2025-6019 особенно опасным, так это его зависимость от CVE-2025-6018, уязвимости в конфигурации подключаемых модулей аутентификации (PAM) в дистрибутивах SUSE Linux. Эта более ранняя уязвимость позволяет непривилегированному локальному пользователю повысить статус до «allow_active» — уровня доступа, который обычно предоставляется пользователям, которые физически присутствуют или аутентифицированы через сеансы GUI или SSH.
Как только злоумышленник достигает этого промежуточного уровня доступа, CVE-2025-6019 может быть использован для получения полных привилегий root с помощью сервиса udisks . По данным Qualys, эта цепочка уязвимостей эффективно устраняет традиционное разделение между обычным пользователем и системным администратором, что является тревожным сдвигом в ландшафте безопасности Linux.
Реальное влияние
Root-доступ — это святой Грааль для любого злоумышленника. С его помощью можно изменять политики безопасности, получать доступ к конфиденциальным данным и извлекать их, устанавливать постоянные бэкдоры и манипулировать системой по своему усмотрению. В таких средах, как общие рабочие станции, размещенные в облаке виртуальные машины или серверы на базе Linux, злоумышленник, использующий эти уязвимости, может поставить под угрозу не только одну систему, но и потенциально всю сеть или инфраструктуру.
Это не теоретическая проблема. Qualys уже разработала эксплойты для проверки концепции (PoC), подтверждающие, что уязвимость затрагивает несколько популярных дистрибутивов Linux, включая Ubuntu, Debian, Fedora и openSUSE. Широко распространенная природа компонента udisks означает, что многие системы могут быть неосознанно подвержены уязвимости.
Что за кулисами: Udisks и Libblockdev
Udisks — это сервис, предоставляющий интерфейсы для управления устройствами хранения данных. Хотя он разработан для улучшения удобства использования и автоматизации, он также вводит новые поверхности атак — особенно при взаимодействии с разрешениями пользователя и политиками, такими как allow_active . Libblockdev, библиотека, стоящая за многими из этих дисковых операций, — это то, где находится ядро CVE-2025-6019. Он предоставляет низкоуровневый доступ к функциональности блочных устройств и, в данном случае, не может должным образом ограничить операции для пользователей с недостаточными привилегиями.
Этот недосмотр становится критическим в сочетании с причудами PAM и предположениями о доверии Polkit. Уязвимости эксплуатируют серые зоны, где такие сервисы, как udisks, доверяют пользователям, отмеченным как «активные», предполагая, что они в безопасности — предположение, которое, как доказывает CVE-2025-6018, может быть манипулировано.
Меры по смягчению последствий и ответ поставщика
Хорошей новостью является то, что поставщики Linux уже реагируют. Патчи выпускаются, и системным администраторам настоятельно рекомендуется применять их, как только они становятся доступными. В то же время, есть несколько практических обходных путей. Например, администраторы могут изменить правило Polkit для org.freedesktop.udisks2.modify-device, чтобы требовать полную аутентификацию администратора (auth_admin), а не полагаться на более разрешительную настройку allow_active.
Эти меры могут предотвратить цепочку эксплуатации, даже если базовые уязвимости все еще присутствуют. Однако они являются временными решениями и не должны рассматриваться как замена надлежащим обновлениям системы.
Больше, чем один недостаток
Раскрытие CVE-2025-6019 происходит вместе с другими недавними проблемами безопасности Linux, такими как CVE-2025-6020 — проблема обхода пути высокой степени серьезности в модуле pam_namespace. Хотя это напрямую не связано, это подчеркивает более широкую проблему защиты локальных границ привилегий в Linux. Такого рода проблемы, хотя и не могут быть использованы удаленно, особенно опасны, когда локальная точка опоры уже установлена — будь то инсайдером, скомпрометированной учетной записью пользователя или посредством фишинга.
Взгляд в будущее
CVE-2025-6019 напоминает нам, что даже надежные и широко используемые компоненты могут стать точками эксплуатации, если предположения о доверии и доступе пользователя не проверены тщательно. Поскольку Linux продолжает поддерживать все, от персональных устройств до корпоративной инфраструктуры и облачных сред, бдительность в управлении исправлениями и политиках контроля доступа важна как никогда.
Системные администраторы, разработчики и специалисты по безопасности должны воспринимать эти результаты как призыв к действию — не просто патчить, но и переосмысливать, как структурированы и применяются разрешения локальных пользователей. В мире, где «локальный-корневой» может произойти за считанные минуты, многоуровневая защита и упреждающее обслуживание остаются лучшей линией защиты.
