Если у вас открыт экран, вы уже уязвимы: Linux рушится изнутри — без вирусов и вторжений

На фоне регулярных обсуждений безопасности Linux , стало известно о двух критических уязвимостях, позволяющих обычному пользователю получить полный контроль над системой. Обе проблемы связаны с эскалацией привилегий и были выявлены специалистами компании Qualys. Речь идёт о CVE-2025-6018 и CVE-2025-6019 — уязвимостях, которые совместно позволяют превратиться из рядового пользователя в суперпользователя с доступом к корневой системе.

• CVE-2025-6018 присутствует в механизме аутентификации PAM дистрибутивов SUSE Linux Enterprise 15 и openSUSE Leap 15. Брешь позволяет неавторизованному пользователю повысить привилегии до уровня «allow_active» — статуса, предоставляющего доступ к действиям Polkit, которые обычно разрешены только физически присутствующим пользователям. Такая лазейка становится первым шагом к получению полного контроля над системой.
• CVE-2025-6019 обнаружена в компоненте libblockdev и используется через демон udisks , который предустановлен почти во всех популярных дистрибутивах Linux. Она позволяет пользователю с правами «allow_active» эскалировать свои привилегии до root. В связке с первой уязвимостью атака становится особенно эффективной, поскольку позволяет быстро преодолеть два уровня защиты и получить неограниченный доступ к системе.

По словам Qualys, злоумышленнику достаточно иметь активную сессию в графическом интерфейсе или по SSH, чтобы использовать уязвимости и получить root-доступ в течение нескольких секунд. Такой тип атаки разрушает традиционные представления о разделении прав между пользователями и администраторами и фактически отменяет барьеры между ними. После получения root-доступа атакующий получает полный контроль над системой: может изменять настройки безопасности, устанавливать скрытые инструменты доступа и использовать систему для дальнейшего продвижения по сети, в том числе для атаки на другие узлы.

Qualys подтвердила работоспособность уязвимостей с помощью PoC-эксплойтов на ряде систем, включая Fedora, Debian, Ubuntu и openSUSE. Специалисты подчёркивают, что затронуты почти все современные дистрибутивы Linux, поскольку udisks и Polkit являются частью базовой инфраструктуры. Для снижения рисков рекомендуется как можно скорее установить обновления безопасности, выпущенные разработчиками дистрибутивов. В качестве временной меры предлагается изменить правило Polkit для действия «org.freedesktop.udisks2.modify-device», потребовав аутентификацию администратора («auth_admin»), чтобы ограничить автоматический доступ.

Напомним, что недавно в каталог активно эксплуатируемых уязвимостей (KEV) попал баг в ядре Linux — CVE-2023-0386 , который в последние месяцы стал использоваться в реальных атаках, несмотря на то что патч для него был выпущен ещё в начале 2023 года. Ошибка затрагивает ключевой защитный механизм Linux — пространства имён, отвечающие за разграничение пользовательских прав и изоляцию процессов. Из-за недоработки в реализации наложенных файловых систем становится возможным загрузить исполняемый объект из одного слоя в другой и инициировать его выполнение с административными полномочиями. Особенно критично это в средах с несколькими пользователями или контейнерной архитектурой.