В мире информационной безопасности постоянно появляются новые угрозы, которые заставляют администраторов и пользователей быть на чеку. В июне 2025 года специалистами компании Qualys была обнаружена критическая уязвимость, затрагивающая работу udisks — сервиса управления дисками, установленного по умолчанию на большинстве популярных Linux-дистрибутивов. Данная уязвимость открывает злоумышленникам возможность значительно повысить свои привилегии и получить полный контроль над системой. Udisks играет ключевую роль в управлении устройствами хранения данных и монтировании файловых систем в Linux. Поскольку сервис запускается с определёнными правами доступа, его безопасность напрямую влияет на защиту всей системы.
Обнаруженная уязвимость позволяет локальному пользователю с ограниченными правами, относящемуся к группе «allow_active», получить права суперпользователя (root). Это связано с ошибками в библиотеке libblockdev и уязвимостями в конфигурации PAM (Pluggable Authentication Modules) — системы аутентификации, используемой во множестве дистрибутивов, включая такие популярные, как Ubuntu, Debian, Fedora и openSUSE. Первая уязвимость, зарегистрированная под идентификатором CVE-2025-6018, касается неправильной настройки PAM в openSUSE Leap 15 и SUSE Linux Enterprise 15, и позволяет локальному пользователю получить права группы «allow_active». Вторая, CVE-2025-6019, связана с libblockdev и дает возможность пользователю из этой группы повысить привилегии до root через уязвимость в сервисе udisks. Опасность обхода заключается в том, что множество систем по умолчанию имеют udisks установленным и активным.
Уровень доступа группы «allow_active» не всегда хорошо защищён и в некоторых случаях может быть получен с помощью дополнительных уязвимостей, что делает обход барьеров доступа относительно простой задачей для опытного злоумышленника. Эксперты Qualys уже разработали и протестировали proof-of-concept эксплойты, которые позволяют успешно использовать данные уязвимости на таких системах, как Ubuntu, Debian, Fedora и openSUSE Leap 15. Это свидетельствует о реальной угрозе для большинства инсталляций Linux без дополнительных настроек безопасности. С точки зрения вредоносных действий, получение root-доступа открывает злоумышленнику полный контроль над системой. Среди возможных последствий — установка скрытых бэкдоров, сохранение долгосрочного доступа (персистентность), изменение системных настроек, похищение данных, возможности для дальнейшего движения по инфраструктуре организации и масштабные атаки на другие системы.
Уязвимость в udisks не является единственной, обнаруженной за последние годы в Linux. Обнаружены критические ошибки в таких компонентах, как Polkit (эксплойт PwnKit), glibc (уязвимость Looney Tunables), файлообрабатывающий слой ядра (Sequoia) и утилита sudo (Baron Samedit). Каждая из них позволяет злоумышленникам повысить привилегии и сделать систему уязвимой для атак, что подчеркивает необходимость постоянного мониторинга, обновлений и жесткой политики безопасности. Решением проблемы служит своевременное обновление пакетов, связанных с udisks, libblockdev и PAM-конфигурацией. Разработчики опубликовали обновления и исправления, закрывающие эти уязвимости.
Руководителям IT-отделов и администраторам систем настоятельно рекомендуется оперативно развернуть патчи на все серверы и рабочие станции для предотвращения потенциальных атак. Кроме того, рекомендуется периодически проводить аудит текущих прав пользователей и групп в системе, исключать необоснованные назначения «allow_active» и использовать дополнительные меры безопасности, например, системы обнаружения вторжений, ограничение физического доступа и применение многофакторной аутентификации. Учитывая растущую сложность современных атак и их все более изощренные методы, сочетание уязвимости в udisks с другими ошибками в системе аутентификации может привести к быстрой и полной компрометации системы. Именно поэтому комплексный и систематический подход к безопасности является обязательным для всех организаций, использующих Linux. В заключение стоит отметить, что проблема локального повышения привилегий в Linux хоть и не нова, но всегда остается критической зоной для внимания.
Компании-поставщики Linux активно работают над улучшением безопасности и исправлением подобных багов, но конечная ответственность за обновления и защиту своих систем лежит на администраторах и пользователях. Регулярное внимание к релизам безопасности, проактивная политика обновлений и обучение сотрудников кибербезопасности существенно снижают риск успешной эксплуатации подобных уязвимостей. Таким образом, новая серьезная проблема с udisks ставит перед пользователями Linux задачу срочно внедрять обновления, пересматривать настройки безопасности и усиливать мониторинг своих систем. Современные атаки не жертвуются временем — своевременная реакция и грамотные меры защиты способны спасти организацию от масштабных и дорогостоящих инцидентов.
