Злоумышленники могут использовать две недавно обнаруженные уязвимости локального повышения привилегий (LPE) для получения привилегий root в системах под управлением основных дистрибутивов Linux.
Первая уязвимость (CVE-2025-6018) была обнаружена в конфигурации фреймворка Pluggable Authentication Modules (PAM) в openSUSE Leap 15 и SUSE Linux Enterprise 15, что позволяет локальным злоумышленникам получить привилегии пользователя "allow_active".
Другая уязвимость (CVE-2025-6019) была обнаружена в libblockdev, и она позволяет пользователю "allow_active" получить права root через демон udisks (служба управления хранением данных, которая по умолчанию запускается в большинстве дистрибутивов Linux).
Хотя успешное использование этих двух недостатков в рамках цепочки "local-to-root" может позволить злоумышленникам быстро получить права root и полностью захватить систему SUSE, недостаток libblockdev/udisks чрезвычайно опасен и сам по себе.
"Несмотря на то, что номинально он требует привилегий „allow_active“, udisks поставляется по умолчанию почти во всех дистрибутивах Linux, поэтому практически любая система уязвима", - заявил старший менеджер Qualys TRU Саид Аббаси (Saeed Abbasi).
"Техники получения прав „allow_active“, включая раскрытую здесь проблему с PAM, еще больше сводят на нет этот барьер. Злоумышленник может использовать эти уязвимости для немедленной компрометации корневой системы с минимальными усилиями".
Подразделение Qualys Threat Research Unit (TRU), которое обнаружило и сообщило об обоих дефектах, также разработало пробные эксплойты и успешно применило CVE-2025-6019 для получения привилегий root в системах Ubuntu, Debian, Fedora и openSUSE Leap 15.
Администраторам настоятельно рекомендуется немедленно установить патчи
Команда Qualys Security Advisory поделилась более подробной технической информацией об этих двух уязвимостях здесь и дала ссылки на исправления безопасности в этом посте Openwall.
"Root-доступ позволяет взламывать агентов, сохранять их и перемещать их в разные стороны, поэтому один непропатченный сервер ставит под угрозу весь парк. Повсеместно исправьте PAM и libblockdev/udisks, чтобы исключить этот путь", - добавил Аббаси.
«Учитывая повсеместное распространение udisks и простоту эксплойта, организации должны относиться к этому как к критическому, универсальному риску и развертывать исправления без промедления».
В последние годы исследователи Qualys обнаружили еще несколько уязвимостей в безопасности Linux, которые позволяют злоумышленникам захватывать непропатченные системы Linux даже в стандартных конфигурациях.
Среди обнаруженных ими уязвимостей - недостаток в компоненте pkexec в Polkit (его назвали PwnKit), недостаток в динамическом загрузчике ld.so в glibc (Looney Tunables), недостаток в уровне файловой системы ядра (его назвали Sequoia) и недостаток в программе Sudo Unix (она же Baron Samedit).
Вскоре после раскрытия уязвмимости Looney Tunables в сети были опубликованы эксплойты для доказательства концепции (PoC). Спустя месяц злоумышленники начали использовать его для кражи учетных данных поставщиков облачных услуг (CSP) с помощью вредоносного ПО Kinsing.
Недавно Qualys также обнаружила пять уязвимостей LPE, появившихся более 10 лет назад в утилите needrestart, используемой по умолчанию в Ubuntu Linux 21.04 и более поздних версиях.
source: https://www.bleepingcomputer[.]com/...ts-attackers-get-root-on-major-linux-distros/
Первая уязвимость (CVE-2025-6018) была обнаружена в конфигурации фреймворка Pluggable Authentication Modules (PAM) в openSUSE Leap 15 и SUSE Linux Enterprise 15, что позволяет локальным злоумышленникам получить привилегии пользователя "allow_active".
Другая уязвимость (CVE-2025-6019) была обнаружена в libblockdev, и она позволяет пользователю "allow_active" получить права root через демон udisks (служба управления хранением данных, которая по умолчанию запускается в большинстве дистрибутивов Linux).
Хотя успешное использование этих двух недостатков в рамках цепочки "local-to-root" может позволить злоумышленникам быстро получить права root и полностью захватить систему SUSE, недостаток libblockdev/udisks чрезвычайно опасен и сам по себе.
"Несмотря на то, что номинально он требует привилегий „allow_active“, udisks поставляется по умолчанию почти во всех дистрибутивах Linux, поэтому практически любая система уязвима", - заявил старший менеджер Qualys TRU Саид Аббаси (Saeed Abbasi).
"Техники получения прав „allow_active“, включая раскрытую здесь проблему с PAM, еще больше сводят на нет этот барьер. Злоумышленник может использовать эти уязвимости для немедленной компрометации корневой системы с минимальными усилиями".
Подразделение Qualys Threat Research Unit (TRU), которое обнаружило и сообщило об обоих дефектах, также разработало пробные эксплойты и успешно применило CVE-2025-6019 для получения привилегий root в системах Ubuntu, Debian, Fedora и openSUSE Leap 15.
Администраторам настоятельно рекомендуется немедленно установить патчи
Команда Qualys Security Advisory поделилась более подробной технической информацией об этих двух уязвимостях здесь и дала ссылки на исправления безопасности в этом посте Openwall.
"Root-доступ позволяет взламывать агентов, сохранять их и перемещать их в разные стороны, поэтому один непропатченный сервер ставит под угрозу весь парк. Повсеместно исправьте PAM и libblockdev/udisks, чтобы исключить этот путь", - добавил Аббаси.
«Учитывая повсеместное распространение udisks и простоту эксплойта, организации должны относиться к этому как к критическому, универсальному риску и развертывать исправления без промедления».
В последние годы исследователи Qualys обнаружили еще несколько уязвимостей в безопасности Linux, которые позволяют злоумышленникам захватывать непропатченные системы Linux даже в стандартных конфигурациях.
Среди обнаруженных ими уязвимостей - недостаток в компоненте pkexec в Polkit (его назвали PwnKit), недостаток в динамическом загрузчике ld.so в glibc (Looney Tunables), недостаток в уровне файловой системы ядра (его назвали Sequoia) и недостаток в программе Sudo Unix (она же Baron Samedit).
Вскоре после раскрытия уязвмимости Looney Tunables в сети были опубликованы эксплойты для доказательства концепции (PoC). Спустя месяц злоумышленники начали использовать его для кражи учетных данных поставщиков облачных услуг (CSP) с помощью вредоносного ПО Kinsing.
Недавно Qualys также обнаружила пять уязвимостей LPE, появившихся более 10 лет назад в утилите needrestart, используемой по умолчанию в Ubuntu Linux 21.04 и более поздних версиях.
source: https://www.bleepingcomputer[.]com/...ts-attackers-get-root-on-major-linux-distros/