😁 Qualys раскрывает ❗️LPE-цепочку в Linux, позволяющую получить root-права

Исследователи Qualys представили детальный анализ цепочки из двух уязвимостей (техника "chaining"), позволяющей осуществить локальную эскалацию привилегий (LPE или local privilege escalation) до уровня root на большинстве современных дистрибутивов Linux. Вектор атаки состоит из последовательной эксплуатации ↔️CVE-2025-6018 и ↔️CVE-2025-6019.

Первая уязвимость представляет собой небезопасную конфигурацию стека Pluggable Authentication Modules (PAM) в дистрибутивах openSUSE Leap 15 и SUSE Linux Enterprise 15. Проблема заключается в том, что модуль pam_env считывает пользовательский файл ~/.pam_environment до инициализации сессии модулем pam_systemd. Это позволяет локальному пользователю, аутентифицированному, например, через SSH, инжектировать переменные окружения XDG_SEAT=seat0 и XDG_VTNR=1 в процесс своей сессии. В результате systemd-logind и, следовательно, фреймворк polkit ошибочно идентифицируют удаленную сессию как физическую консольную сессию. Таким образом, злоумышленник повышает свои привилегии до уровня allow_active, получая права, которые polkit предоставляет только пользователям, физически находящимся за машиной.

Вторая уязвимость обнаружена в библиотеке libblockdev и эксплуатируется через стандартную системную службу udisks2. Имея статус allow_active, атакующий может через udisks2 инициировать операцию изменения размера (Resize) для специально подготовленного им файлового образа в формате XFS. В ходе этого процесса libblockdev для выполнения операции xfs_growfs временно монтирует этот образ в директорию /tmp. Критическая ошибка заключается в том, что монтирование производится без флагов nosuid и nodev. Это открывает окно для атаки, позволяя злоумышленнику исполнить любой SUID-root бинарный файл, предварительно размещенный в образе, и немедленно эскалировать привилегии до euid=0(root).

Анализ показывает, что повсеместное использование компонентов udisks2, polkit и systemd в современных Linux-системах формирует чрезвычайно широкую поверхность атаки.

✋Саид Аббаси из Qualys пишет:

Цепочка CVE-2025-6018 и CVE-2025-6019 позволяет любому пользователю SUSE 15/Leap 15 SSH превратиться из «обычного» в root с установленными по умолчанию PAM + udisks. Одна уязвимость предоставляет allow_active, а другая превращает этот статус в полноценный root, и все это с помощью встроенных пакетов. Root-доступ позволяет взламывать агентов, сохранять их и перемещаться в разные стороны, поэтому один непропатченный сервер ставит под угрозу весь парк. Повсеместно исправьте PAM и libblockdev/udisks, чтобы исключить этот путь.