双漏洞链攻击将改变Linux安全格局？

近期安全研究报告揭示，两枚看似独立的漏洞——PAM 配置错误与 libblockdev 的权限缺陷——在 SSH 登录后可以无缝衔接，形成“一举根权”的攻击链。若把它比作锁具，前一道锁的缺口恰好匹配后一道锁的钥匙，攻击者只需一次远程会话便可跨越所有防线，这种“链式利用”是否预示着 linux 安全格局即将被重新划分？

链式利用的技术细节

漏洞一（CVE‑2025‑6018）源自 PAM 配置文件中 allow_active 标记的错误放宽，原本仅对本地控制台有效的特权在远程 SSH 会话中被激活。漏洞二（CVE‑2025‑6019）则利用 libblockdev 在 udisks2 守护进程中的缺陷，使得拥有 allow_active 状态的进程可以直接通过 D‑Bus 调用 org.freedesktop.udisks2.modify-device，绕过所有交互式认证。两者相结合，攻击者仅需一次登录，即可在用户空间提升至内核态 root。

影响范围与实际案例

受影响的发行版包括 Ubuntu 20.04/22.04、Debian 11/12、Fedora 38 以及 openSUSE Leap 15 系列。2025 年 7 月，一家欧洲金融机构的渗透测试团队在内部审计时复现了该链式攻击，仅用了 5 分钟便获得了完整的系统控制权，随后发现数台生产服务器的日志被悄然篡改。该案例凸显了攻击链的“横向移动”潜能——一台被攻陷的机器足以成为网络内部的跳板。

防御思考：从单点防护到系统级韧性

面对链式利用，传统的“补丁即安全”思路显得捉襟见肘。除了及时更新 PAM 与 libblockdev 包之外，以下措施值得在生产环境中同步推进：

• 审计所有 /etc/pam.d/* 配置，确保 allow_active 只在本地登录上下文出现。
• 自定义 /etc/polkit-1/rules.d/50‑local.rules，强制 org.freedesktop.udisks2.modify-device 必须经管理员凭证。
• 在 SSH 入口层面实施多因素认证，并通过 AllowUsers 限制可登录账户。
• 部署基于行为的入侵检测（如 OSSEC）监控异常的 D‑Bus 调用频率。

更进一步，构建“零信任”网络模型，令每一次特权提升都必须经过独立的审计与授权，才能在根本上削弱链式攻击的价值。毕竟，当攻击者的唯一入口被硬化，原本看似无懈可击的链条也会在第一个环节失效。