CVE-2025-6018 & CVE-2025-6019：双漏洞链致 root 权限轻易失守（附解决方案）

2025年6月17日，Qualys研究团队披露了两个关键的Linux漏洞：CVE-2025-6018和CVE-2025-6019。该漏洞可以链式利用,允许攻击者从普通角色提升到root角色，影响多个Linux发行版本，包括Ubuntu、Debian、Fedora、openSUSE Leap 15和SUSE Enterprise 15。该漏洞只需要SSH登录就可以触发.

以下是两个漏洞的核心信息：

• 完全系统接管：黑客可获得root权限，控制系统和更改所有数据。
• 规避端点检测：黑客可以绕过常见监控工具。
• 持久后门：黑客可无感知留后门，从而实现长期控制系统。
• 横向移动：黑客可利该漏洞攻击网络中的其他设备。

技术背景

PAM 是 Linux 系统中的一个用户认证框架模块,它可以通过配置文件例如: /etc/pam.d/ 或者 /etc/pam.conf 中来管理和定义认证策略。CVE-2025-6018 漏洞源于 PAM 配置中的一个漏洞,具体来说就是允许远程用户(例如通过 SSH 登录)获得 "allow_active" 的状态。通常这个状态只会授予本地登陆的用户(比如通过控制台登录),但配置错误会导致远程用户也能获得特权。

polkit 是一个权限管理框架，用于控制非root用户对root权限操作的访问（如挂载设备或修改系统设置等）。CVE-2025-6019 利用了 polkit 的默认规则，特别是 org.freedesktop.udisks2.modify-device，当其设置为 allow_active=yes 时，允许用户无需认证即可执行这些root权限的动作。

• libblockdev：一个 C 语言库，用于与块设备（如硬盘、分区）交互，提供对存储设备的底层操作支持。
• udisks2：通过 D-Bus 接口提供用户空间对存储设备的访问，依赖 libblockdev。CVE-2025-6019 的漏洞存在于 libblockdev 中，通过 udisks 守护进程允许黑客执行root角色的操作。

漏洞利用机制

Qualys 研究团队通过概念验证（PoC）代码，证明了这些漏洞在受影响发行版上是可以执行的。流程如下：

1. CVE-2025-6018：通过 SSH 登录，利用 PAM 配置错误获得 "allow_active" 状态。
2. CVE-2025-6019：利用 libblockdev 的漏洞，通过 udisks 守护进程执行root角色操作，结合 CVE-2025-6018 的特权状态，最终获得root权限。

这种攻击链利用了系统中原生的服务（如 udisks 和 PAM），无需额外工具。

哪些版本值得关注?

管理员需检查系统是否运行以下受影响的发行版：

• openSUSE Leap 15 和 SUSE Linux Enterprise 15（CVE-2025-6018 和 CVE-2025-6019）
• Ubuntu（CVE-2025-6019）
• Debian（CVE-2025-6019）
• Fedora（CVE-2025-6019）

检查方法：

• 查libblockdev 和 udisks2 的版本：
  • Debian/Ubuntu：dpkg -l | grep libblockdev 或 dpkg -l | grep udisks2
  • Fedora：dnf list libblockdev 或 dnf list udisks2
  • openSUSE：zypper info libblockdev 或 zypper info udisks2
• 检查 PAM 配置文件（如 /etc/pam.d/sshd）是否存在 user_readenv=1 设置。

补救措施

各发行版已发布或正在发布补丁，具体如下：

注意：

• Ubuntu 对 CVE-2025-6018 不受影响，因其未在远程认证配置文件中设置 user_readenv=1。
• Fedora 的补丁信息尚未公开，建议管理员定期检查 Fedora 安全更新。

操作步骤：

• Debian/Ubuntu：运行 apt update && apt upgrade。
• Fedora：运行 dnf update。
• openSUSE：运行 zypper update。

默认的 polkit 规则可能允许未经认证的操作，需调整 org.freedesktop.udisks2.modify-device 规则以要求管理员认证。

修改步骤：

1. 创建或编辑 /etc/polkit-1/rules.d/50-local.rules 文件：

polkit.addRule(function(action, subject) {
    if (action.id == "org.freedesktop.udisks2.modify-device") {
        return polkit.Result.AUTH_ADMIN;
    }
});

1. 保存并重启 polkit 服务：systemctl restart polkit。
2. 验证配置生效：尝试以非管理员用户执行设备操作，应提示认证。

注意：不同发行版的 polkit 配置路径可能略有差异，建议参考官方文档。

由于漏洞可通过 SSH 登录利用，需加强 SSH 配置：

• 禁用 root 登录：编辑 /etc/ssh/sshd_config，设置 PermitRootLogin no。
• 使用密钥认证：生成 SSH 密钥对，禁用密码登录（PasswordAuthentication no）。
• 限制访问：使用 AllowUsers 或 AllowGroups 限制 SSH 用户。
• 启用防火墙：使用 ufw 或 firewalld 限制 SSH 访问来源 IP。

重启 SSH 服务：systemctl restart sshd。

管理员应监控系统以发现潜在入侵迹象：

• 使用 auditd：配置审计规则，监控系统调用和重要文件是否有变更。

auditctl -w /etc/passwd -p wa -k passwd_changes
auditctl -w /etc/shadow -p wa -k shadow_changes

• 部署 IDS：使用 OSSEC 或 Tripwire 检测异常活动。
• 检查日志：定期审查 /var/log/auth.log 或 /var/log/secure，寻找异常登录或命令执行。

• 定期备份：使用工具如 rsync 或 Timeshift 备份系统关键数据。
• 测试恢复：定期验证备份可用性，确保在系统被接管时可快速恢复。
• 隔离备份：将备份存储在离线或只读介质上，防止被恶意软件破坏。

结论

CVE-2025-6018和CVE-2025-6019是linux系统的一个重要的漏洞。系统工程师应给足够的重视、调整polkit配置，加固SSH，并实施监控和备份。