🥇Kerentanan dalam PAM dan libblockdev yang memungkinkan akses root ke sistem

Компания Qualys выявила уязвимость (CVE-2025-6019) в библиотеке libblockdev, позволяющую через манипуляции с фоновым процессом udisks получить права root в системе. Работа прототипа эксплоита продемонстрирована в Ubuntu, Debian, Fedora и openSUSE Leap 15.

Процесс udisks применяется практически во всех дистрибутивах Linux и предоставляет интерфейс D-Bus для выполнения операций с накопителями, таких как монтирование и форматирование. Для совершения действий с накопителями udisks вызывает функции библиотеки libblockdev. Доступ к udisks по умолчанию открыт только для пользователей, работающих в контексте «allow_active», т.е. имеющих физический доступ к компьютеру и подключившихся через локальную консоль или запустивших графический сеанс. Пользователи, подключающиеся удалённо, например, по ssh, не попадают в этот контекст и напрямую не могут эксплуатировать уязвимость.

Untuk mengatasi batasan ini, Anda dapat menggunakan trik yang memungkinkan Anda menaikkan level autentikasi ke "allow_active" dengan memanipulasi peluncuran layanan pengguna oleh utilitas systemctl, yang akan dianggap polkitd sebagai tanda sesi lokal. Inti dari metode ini adalah polkitd menentukan keberadaan akses fisik dan menetapkan level "allow_active" berdasarkan tanda tidak langsung yang dapat dipengaruhi. Keterbatasan metode ini adalah untuk menipu polkitd, diperlukan sesi pengguna lokal dengan akses fisik yang sudah aktif dalam sistem.

Вторым методом получения прав «allow_active» является эксплуатация уязвимости (CVE-2025-6018) в PAM (Pluggable Authentication Modules), которую исследователи из Qualys выявили в ходе анализа уязвимости в libblockdev. Уязвимость позволяет любому пользователю, в том числе подключившемуся по SSH, выполнять операции в контексте «allow_active». Проблема специфична для настроек PAM в openSUSE Leap 15 и SUSE Linux Enterprise 15, и проявляется только в этих дистрибутивах.

В модуле pam_env в openSUSE и SUSE по умолчанию включено чтение файла ~/.pam_environment. Через данный файл пользователь может выставить переменные окружения XDG_SEAT=seat0 и XDG_VTNR=1, которые при дальнейшей обработке будут восприняты как признак физического присутствия пользователя, даже если фактически вход осуществлён по SSH. Модуль pam_env также вызывается при подключении по ssh в Debian 12 dan Ubuntu 24.04 (в Debian 13 dan Ubuntu 24.10+ он отключён), но выставление переменных окружения в данных дистрибутивах не может применяться для повышения уровня доступа до «allow_active», так как pam_env вызывается на финальном этапе после загрузки модуля pam_systemd и выставленные переменные окружения не могут повлиять на параметры сеанса.

Mengenai kerentanan dalam libblockdev, penyerang dapat memasang citra sistem berkas sembarangan dalam mode loop, menempatkan berkas yang dapat dieksekusi dengan tanda root SUID atau perangkat khusus (/dev/mem) untuk akses tingkat rendah ke disk atau memori dalam citra ini. Untuk memblokir serangan tersebut, citra FS dipasang oleh sistem dengan tanda nosuid dan nodev, tetapi kerentanan dalam libblockdev memungkinkan untuk memasang citra tanpa tanda nosuid dan nodev. Inti dari kerentanan ini adalah bahwa udisks memungkinkan pengguna dengan tingkat akses "allow_active" untuk mengubah ukuran sistem berkas mereka, dan libblockdev memasang FS untuk sementara tanpa menyetel tanda nosuid dan nodev selama operasi ini.

Maka, serangannya adalah dengan membuat perangkat loop berdasarkan citra sistem berkas XFS yang memuat berkas root suid, menginisiasi operasi untuk mengubah ukuran perangkat loop, dan memantau saat perangkat tersebut dipasang dalam direktori /tmp/blockdev*: victim> killall -KILL gvfs-udisks2-volume-monitor victim> udisksctl loop-setup —file ./xfs.image —no-user-interaction Mapped file ./xfs.image as /dev/loop0.victim> while true; do /tmp/blockdev*/bash -c 'sleep 10; ls -l /tmp/blockdev*/bash' && break; selesai 2>/dev/null & korban> panggilan gdbus —sistem —tujuan org.freedesktop.UDisks2 —jalur-objek /org/freedesktop/UDisks2/block_devices/loop0 —metode org.freedesktop.UDisks2.Filesystem.Resize 0 '{}' Kesalahan: GDBus.Error:org.freedesktop.UDisks2.Error.Failed: Kesalahan mengubah ukuran sistem berkas di /dev/loop0: Gagal melepas '/dev/loop0' setelah mengubah ukurannya: target sedang sibuk -r-sr-xr-x. 1 root root 1406608 18 Jun 09:42 /tmp/blockdev.RSM429/bash korban> /tmp/blockdev*/bash -p korban# id uid=65534(tak seorang pun) gid=65534(tak seorang pun) euid=0(root) grup=65534(tak seorang pun)

Уязвимость в libblockdev пока устранена только в виде патчей. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (1, 2). В качестве обходных путей для блокирования уязвимости можно изменить правило доступа к операции «org.freedesktop.udisks2.modify-device» в polkit, изменив в файле /usr/share/polkit-1/actions/org.freedesktop.UDisks2.policy значение параметра «allow_active» с «yes» на «auth_admin».

Дополнительно можно отметить раскрытую несколько часов назад уязвимость (CVE-2025-6020) в пакете linux-pam, позволяющую локальному пользователю получить права root. Модуль pam_namespace должным образом не проверял файловые пути, подконтрольные пользователю, что позволяло через манипуляции с символическими ссылками и достижением состояния гонки добиться перезаписи привилегированных файлов в системе. Уязвимость устранена в выпуске linux-pam 1.7.1. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (1, 2).

Sumber: opennet.ru

Kerentanan dalam PAM dan libblockdev yang memungkinkan hak akses root diperoleh dalam sistem