В современном мире кибербезопасности каждая уязвимость в критически важных компонентах операционных систем становится потенциальной угрозой для миллионов пользователей и организаций. Недавнее обнаружение двух взаимосвязанных уязвимостей в подсистеме udisks, используемой в большинстве популярных дистрибутивов Linux, стало тревожным сигналом для сообщества IT-специалистов и конечных пользователей. Эти дефекты позволяют злоумышленникам повысить свои привилегии до уровня root, что дает полный контроль над системой и открывает широкие возможности для вредоносных действий. В данной статье рассматриваются подробности этих уязвимостей, их техническая природа, масштаб воздействия, а также шаги, которые необходимо предпринять для защиты своих систем. Осознание рисков и своевременное обновление ПО — ключевые мер безопасности в борьбе с подобными угрозами.
При рассмотрении вопроса о локальном повышении привилегий особое внимание заслуживают две недавно выявленные ошибки, обозначенные в системе учёта уязвимостей как CVE-2025-6018 и CVE-2025-6019. Первая из них затрагивает конфигурацию Pluggable Authentication Modules (PAM) в openSUSE Leap 15 и SUSE Linux Enterprise 15, что позволяет локальным злоумышленникам получить права на пользователя allow_active. Вторая уязвимость связана с библиотекой libblockdev и демонстрацией возможностей демона udisks, широко применяемого для управления дисками и хранилищем данных во многих Linux-средах. Интеграция этих уязвимостей в локальную цепочку повышения привилегий облегчает злоумышленникам процесс получения root-доступа. Технически проблема заключается в том, что демон udisks, который по умолчанию присутствует практически во всех популярных дистрибутивах Linux — включая Ubuntu, Debian, Fedora и openSUSE, — не имеет должных механизмов контроля доступа, что позволяет пользователю allow_active перерасти в полные административные права.
Экспертами компании Qualys Threat Research Unit (TRU), обнаружившими данные уязвимости, отмечается, что для эксплуатации первой ошибки требуется локальный пользователь с правами allow_active, однако такой уровень привилегий не является редкостью в системах Linux, и в некоторых случаях может быть достигнут через другие известные уязвимости или доступы. Сама уязвимость в udisks является особенно опасной, поскольку демон работает от имени root, и нарушение его безопасности ведет к полной компрометации системы. Благодаря бОльшему распространению udisks и простоте использования, эксплойты, основанные на CVE-2025-6019, могут быть применены с минимальными усилиями. Специалисты разработали Proof of Concept (PoC) эксплойты, которые подтвердили возможность получения root-привилегий на различных системах с разными версиями ядра и дистрибутивов Linux, что подчеркивает критическую важность возникновения данной уязвимости. В профессиональном сообществе кибербезопасности эксперты рекомендуют немедленно устанавливать официальные патчи и обновления, предоставленные разработчиками дистрибутивов и открытых проектов.
В числе дистрибутивов, пострадавших от данной проблемы, находятся ведущие решения с большим количеством пользователей. Уязвимость не только повышает риск компрометации отдельных компьютеров, но и несет угрозу нарушения безопасности корпоративных систем и серверов, на которых, как правило, хранятся ценные данные и обеспечивается непрерывность бизнес-процессов. Отдельное внимание следует уделить и другой уязвимости ядра Linux — CVE-2023-0386, затрагивающей подсистему OverlayFS. Несмотря на то, что данный баг был известен уже некоторое время, Агентство по кибербезопасности и защите инфраструктуры США (CISA) недавно предупредило о его активной эксплуатации, что дополнительно подчеркивает важность систематического мониторинга состояния безопасности и своевременного реагирования на угрозы. Практические рекомендации по работе с обнаруженными уязвимостями включают своевременное применение патчей, ограничение доступа к системам для неавторизованных пользователей, а также применение средств мониторинга и обнаружения аномалий в поведении процессов.
Важно, что сама архитектура udisks, предназначенная для управления накопителями, требует дополнительного пересмотра и возможно усиления мер безопасности, чтобы минимизировать подобные риски в будущем. Многие системные администраторы и специалисты по защите информации уже проводят аудит конфигураций PAM и уязвимых компонентов libblockdev, внедряя дополнительные политики безопасности и ограничивая возможности атаки на уровне пользователя allow_active. В свете данных событий, организациям следует усилить контроль доступа и реализовать многоуровневые стратегии доверия, чтобы снизить возможность использования уязвимостей злоумышленниками. Заключая обзор, можно отметить, что уязвимости, подобные CVE-2025-6018 и CVE-2025-6019, серьезно подрывают основу безопасности операционных систем Linux, несмотря на их широкое распространение и репутацию надежных и защищенных платформ. Адаптация новых угроз требует не только технических знаний, но и внедрение надежных процессов управления безопасностью, а также повышения осведомленности пользователей и администраторов.
В итоге, своевременное обновление и исправление уязвимостей, вместе с постоянным мониторингом и обучением, остаются наиболее эффективными инструментами защиты от локального повышения привилегий и других видов атак. Внимательное отношение к безопасности и профессиональный подход к эксплуатации Linux-систем позволят сохранить данные и инфраструктуру в безопасности, несмотря на постоянно растущую сложность и разнообразие современных киберугроз.
