情資卡編號:
TCCY-RCDC-200-202506-0000072
事件主旨:
Linux系統本地權限提升漏洞修補 說明與建議
內容說明:
Qualys威脅研究部門於2025年6月17日發布研究報告,揭露以下兩個嚴重的本地權限提升(LPE, Local Privilege Escalation)漏洞:
CVE-2025-6018:存在於openSUSE Leap 15及SUSE Linux Enterprise 15的PAM組態中,非特權本地攻擊者(例如透過SSH)可以提升為「allow_active」使用者,並呼叫通常為實體存在使用者保留的polkit操作。在openSUSE/SLE 15中,PAM堆疊的組態用於確定哪些使用者在執行特權操作時,被視為實際存在的使用者。
CVE-2025-6019:影響libblockdev,可透過大多數Linux發行版預設包含的udisks daemon進行利用,並允許「allow_active」使用者獲得完全root權限。雖然CVE-2025-6019本身需要現有的allow_active內容,但將其與CVE-2025-6018結合起來,可以讓純粹的非特權攻擊者獲得完全root存取權。
udisks服務在大多數Linux系統上預設執行,提供D-Bus介面用於儲存管理(掛載、查詢、格式化等)。udisks在底層呼叫libblockdev,這是一個處理低階區塊裝置操作的函式庫,而libblockdev中存在的該漏洞(可透過udisks存取),允許任何已處於「allow_active」狀態中的使用者,直接升級到root權限。
libblockdev/udisks漏洞極為嚴重,雖然名義上需要「allow_active」權限,但幾乎所有Linux發行版都預設支援udisks,因此幾乎任何系統都存在漏洞。取得「allow_active」權限的技術,包括遭揭露的PAM漏洞,進一步削弱這項防禦機制。攻擊者可以結合這些漏洞,以極小的代價立即取得root權限。鑑於udisks的普遍性和漏洞利用的簡單性,組織必須將其視為嚴重、普遍存在的風險,一旦發布更新,則立即部署修補程式。
風險等級:
2
建議措施:
一、 影響範圍
大多數Linux發行版,包括但不限於openSUSE Leap 15、SUSE Linux Enterprise 15、Ubuntu、Debian、Fedora等。
二、 建議
請遵循Linux發行版供應商建議的具體說明,提供以下已公開的Linux發行版說明:
SUSE:https://www.suse.com/security/cve/CVE-2025-6018.html 、https://www.suse.com/security/cve/CVE-2025-6019.html
Ubuntu:https://ubuntu.com/security/CVE-2025-6019 、https://ubuntu.com/blog/udisks-libblockdev-lpe-vulnerability-fixes-available
Debian:https://security-tracker.debian.org/tracker/CVE-2025-6019
Amazon Linux:https://explore.alas.aws.amazon.com/CVE-2025-6019.html、https://explore.alas.aws.amazon.com/CVE-2025-6020.html