Linux zagrożony zdalnym przejęciem. Czas na natychmiastowe zmiany

Firma Qualys, znana z narzędzi do audytu bezpieczeństwa i testów konfiguracji SSL, ujawniła szczegóły dwóch poważnych luk w zabezpieczeniach, które w kombinacji pozwalają nieuprzywilejowanemu użytkownikowi na natychmiastowe uzyskanie dostępu root — i to potencjalnie zdalnie, przez SSH.

Pierwsza luka została oznaczona identyfikatorem CVE-2025-6018. Dotyczy ona błędnej konfiguracji systemu PAM (Pluggable Authentication Module) w popularnych dystrybucjach openSUSE Leap 15 oraz SUSE Linux Enterprise 15. Problemem jest ustawienie flagi allow_active, która umożliwia zdalnym użytkownikom (np. łączącym się przez SSH) wykonywanie działań wymagających podwyższonych uprawnień — takich jak montowanie lub odmontowywanie dysków, zamykanie systemu, a nawet jego restart.

Sama ta luka jest niepokojąca, ale staje się niebezpieczna w połączeniu z kolejną podatnością, która zamienia ją w realny, uniwersalny wektor ataku.

CVE-2025-6019: luka w libblockdev otwiera pełen dostęp root

Druga i znacznie poważniejsza luka została opisana w biuletynie jako CVE-2025-6019. Dotyczy ona biblioteki libblockdev, która jest używana przez usługę udisks — domyślnie zainstalowaną w wielu dystrybucjach Linuksa. Udisks odpowiada za zarządzanie nośnikami danych i operacjami na dyskach w środowiskach graficznych i serwerowych.

W połączeniu z podatnością związaną z PAM, błędne zarządzanie uprawnieniami w libblockdev pozwala eskalować uprawnienia z poziomu zwykłego użytkownika do poziomu administratora root, bez konieczności znajomości hasła. Co więcej, możliwe jest to nawet zdalnie, o ile atakujący ma możliwość zalogowania się przez SSH.

Rekomendacje Qualys: zmień politykę Polkit natychmiast

Firma Qualys nie opublikowała jeszcze szczegółowego proof-of-concept, ale określiła ten wektor ataku jako „krytyczne, uniwersalne zagrożenie”. Zaleca natychmiastowe działania ze strony administratorów, zanim luka zostanie wykorzystana przez cyberprzestępców:

• Zmień politykę uprawnień Polkit dla org.freedesktop.udisks2.modify-device:

  • Z: allow_active=yes

  • Na: auth_admin — co oznacza, że do wykonania operacji będą wymagane dane uwierzytelniające administratora.

Ta zmiana uniemożliwi użytkownikom nieposiadającym odpowiednich uprawnień wykonywanie operacji dyskowych, nawet jeśli posiadają dostęp do sesji SSH.

Linux zagrożony – aktualizacje nie mogą czekać

Choć wielu administratorów przywykło do traktowania Linuksa jako fortecy bezpieczeństwa, ta sytuacja pokazuje, że nawet najmniejsze błędy konfiguracyjne mogą otworzyć drzwi dla poważnych ataków. Co więcej, skala zagrożenia nie ogranicza się do jednej dystrybucji — libblockdev i udisks są szeroko wykorzystywane także w Ubuntu, Fedorze, Debianie i Archu.