Знайдено дві нові вразливості локального підвищення привілеїв (LPE), які впливають на SSH та libblockdev – компоненти, що присутні в більшості популярних дистрибутивів Linux. Ці вразливості дозволяють хакерам отримати розширений доступ до систем без складних інструментів.

Деталі вразливостей SSH та libblockdev

Виявлені вразливості мають наступні ідентифікатори:

• CVE-2025-6018 – дозволяє зловмиснику імітувати користувача через SSH
• CVE-2025-6019 – може бути використана через сервіс udisks для підвищення привілеїв до рівня root

Pumpkin Chang, дослідник безпеки з компанії DEVCORE, який спеціалізується на безпеці ядра Linux, детально розглядає ці проблеми у своєму блозі. Він пояснює, як механізми D-Bus та Polkit використовуються для виконання певних операцій шляхом імітації справжніх користувачів.

Аналіз вразливостей від експертів

Saeed Abbasi, старший менеджер Qualys, зазначає у звіті: “Ці сучасні експлойти ‘local-to-root’ усунули розрив між звичайним користувачем та повним захопленням системи”.

Він додає: “Комбінуючи легітимні сервіси, такі як udisks loop-mounts та особливості PAM/environment, зловмисники, які мають будь-яку активну GUI або SSH сесію, можуть обійти зону довіри polkit allow_active і отримати root-привілеї за лічені секунди”.

Важливо відзначити, що “нічого екзотичного не потрібно”. Тобто, для експлуатації цих вразливостей не потрібні нестандартні інструменти або складне програмне забезпечення.

Способи захисту від вразливостей

Для зменшення ризиків, пов’язаних з цими вразливостями, Abbasi рекомендує: “Змінити правило polkit для ‘org.freedesktop.udisks2.modify-device’. Змініть параметр allow_active з ‘yes’ на ‘auth_admin'”.

Крім того, адміністраторам рекомендується своєчасно оновлювати системи безпеки та встановлювати відповідні патчі, які випускають розробники дистрибутивів Linux.

Поширення вразливостей

Варто зауважити, що обидві вразливості присутні в більшості основних дистрибутивів Linux, включаючи серверні версії. Тому важливо, щоб системні адміністратори оперативно реагували на ці загрози.

Більше інформації можна отримати на офіційному сайті дослідника.

Фахівці з безпеки радять регулярно перевіряти системні журнали на наявність підозрілої активності, особливо пов’язаної з повноваженнями користувачів та SSH-сесіями.