В современном мире безопасность операционных систем является критически важным аспектом, особенно для серверных решений и корпоративных инфраструктур. Недавние открытия в Linux-среде потрясли сообщество разработчиков и специалистов по безопасности: выявлены две серьезные локальные уязвимости, которые позволяют злоумышленникам повысить свои права до уровня root практически на любом распространённом дистрибутиве Linux. Эти уязвимости воздействуют на компоненты PAM (Pluggable Authentication Modules) и сервис udisks, которые широко используются в большинстве систем и отвечают за аутентификацию и управление дисковыми устройствами. Инцидент был раскрыт исследователями Qualys, которые подробно описали механизмы атаки и предложили рекомендации по устранению угрозы. Первая уязвимость с идентификатором CVE-2025-6018 затрагивает PAM-конфигурацию в openSUSE Leap 15 и SUSE Linux Enterprise 15.
Она позволяет неавторизованному пользователю повысить привилегии до уровня allow_active — специального статуса в Polkit, который обычно требует физического присутствия пользователя для выполнения административных команд. При этом злоумышленник может воспользоваться этим уровнем доступа для вызова привилегированных действий, доступных только для активных сессий. Вторая уязвимость, CVE-2025-6019, связана с библиотекой libblockdev и демоном udisks, который отвечает за управление дисковыми устройствами. Этот сервис включён по умолчанию во многие Linux-дистрибутивы, что резко расширяет зону риска. Уязвимость позволяет пользователю с доступом allow_active получить полноразмерные root-права, комбинируя её с первой уязвимостью.
Таким образом, цепочка из этих двух проблем открывает злоумышленнику прямой путь к полному контролю над системой из-под пользовательской сессии без физического доступа. По словам Саида Аббаси, старшего менеджера исследовательского отдела Qualys, данные эксплойты «стерли границу между обычным пользователем и полным контролем над системой». Использование легитимных сервисов и особенностей конфигурации PAM и Polkit позволяет за считанные секунды выполнить эскалацию привилегий и получить доступ к root. Это угрожает не только личным пользователям и организациям, но и крупным дата-центрам, где используется Linux как базовая платформа. Помимо этого, в тот же период была выявлена и исправлена высокая по опасности уязвимость в самой реализации PAM — CVE-2025-6020.
Эта проблема связана с модулем pam_namespace, который при определённых условиях мог позволить обычному пользователю через атаки с символическими ссылками и состояния гонки получить root-права. Уязвимость была устранена в версии PAM 1.7.1. Специалисты рекомендуют системным администраторам внимательно проверить версии PAM и гарантировать, что pam_namespace либо отключён либо настроен таким образом, чтобы исключить работу с путями, контролируемыми обычным пользователем.
В качестве временной меры для снижения риска эксплуатации уязвимостей в udisks и Polkit следует изменить правила для org.freedesktop.udisks2.modify-device, увеличив требования к аутентификации до административного уровня. Это значительно осложнит злоумышленникам возможность обойти защиту с помощью allow_active.
Важно отметить, что угрозы создания постоянного бекдора при получении доступа root крайне серьезны — с полной властью над системой злоумышленник может манипулировать настройками безопасности, устанавливать скрытое вредоносное ПО и вызывать длительные проблемы, оставаясь незаметным длительное время. Тем более опасна ситуация в корпоративных средах, где Linux-серверы выполняют ключевые функции и хранят критически важные данные. В виду масштабов распространения уязвимостей, затрагивающих такие крупные дистрибутивы, как Ubuntu, Debian, Fedora и openSUSE, своевременное обновление системных компонентов становится жизненно необходимым для защиты инфраструктуры. Разработчики уже выпустили патчи и рекомендуют немедленно применять их, чтобы не подвергать риску свои данные и сервисы. Сообщество кибербезопасности подчёркивает, что современные атаки становятся всё более изощрёнными, использующими легитимные инструменты и сервисы для обхода традиционных защитных механизмов.
Такие «местные до root» эксплойты демонстрируют необходимость комплексного и многоуровневого подхода к безопасности, включающего не только установку патчей, но и настройку политик доступа, мониторинг активности пользователей и применение средств обнаружения аномалий. В конечном итоге обнаруженные уязвимости в PAM и udisks служат напоминанием для всех пользователей Linux — даже самые распространённые и проверенные компоненты системы могут содержать потенциальные слабости. Только своевременное реагирование и регулярное обновление обеспечат надёжную защиту от угроз, способных привести к полностью нарушенному контролю над системой. Соблюдение рекомендаций экспертов и применение лучших практик безопасности помогут минимизировать риски и обеспечат устойчивость инфраструктуры к современным кибератакам.
