Chuỗi lỗ hổng mới trên Linux cho phép hacker chiếm quyền root toàn hệ thống

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
100
876 bài viết
Chuỗi lỗ hổng mới trên Linux cho phép hacker chiếm quyền root toàn hệ thống
WhiteHat Team
Một chuỗi tấn công mới được phát hiện trên các hệ điều hành Linux đang khiến cộng đồng an ninh mạng toàn cầu báo động đỏ. Hai lỗ hổng bảo mật có mã định danh CVE-2025-6018 và CVE-2025-6019, khi kết hợp lại cho phép hacker chiếm toàn quyền điều khiển hệ thống chỉ bằng tài khoản không đặc quyền.

1750392047748.png

Điều đáng lo ngại là các thành phần bị ảnh hưởng đều có sẵn trên hầu hết bản phân phối Linux phổ biến, từ Ubuntu đến Fedora khiến phạm vi rủi ro gần như toàn cầu.

Chuỗi tấn công hoạt động như thế nào?​

CVE-2025-6018: Lỗi cấu hình xác thực PAM (trên SUSE) - Giai đoạn 1
  • Thành phần bị ảnh hưởng: PAM (Pluggable Authentication Modules) – hệ thống quản lý đăng nhập của Linux.
  • Lỗi: PAM của SUSE định danh người dùng SSH từ xa thành người dùng “active” như thể họ đang ngồi trực tiếp tại máy (console), trong khi thực tế thì không phải.
  • Hậu quả: Hacker có thể “ngụy trang” thành người dùng hợp lệ, mở ra quyền truy cập đến nhiều tính năng bị giới hạn.
CVE-2025-6019: Leo thang đặc quyền qua udisks2/libblockdev - Giai đoạn 2
  • Thành phần bị ảnh hưởng: udisks2 – dịch vụ quản lý ổ đĩa; libblockdev – thư viện thao tác thiết bị lưu trữ cấp thấp.
  • Lỗi: Dịch vụ này cho phép người dùng “active” thực hiện các thao tác hệ thống cấp cao như mount, format thiết bị mà không cần mật khẩu root.
  • Hậu quả: Khi đã được xem là “active”, hacker có thể dễ dàng gọi các API này để chạy mã với quyền root.
Cả hai lỗ hổng tạo thành chuỗi tấn công hoàn chỉnh: Từ tài khoản SSH không đặc quyền → trở thành người dùng active → kiểm soát hệ thống qua udisks2 → chiếm quyền root.

Lỗ hổng đầu tiên liên quan đến cấu hình PAM sai trên SUSE, cho phép SSH user được gán quyền “allow_active” như người dùng tại máy vật lý. Từ đó, lỗ hổng thứ hai khai thác udisks (qua libblockdev) để thực thi mã với quyền root. Do udisks có mặt mặc định trên nhiều bản phân phối Linux (Ubuntu, Debian, Fedora,...), việc khai thác rất phổ biến và nguy hiểm.

Ai đang gặp nguy hiểm?​

  • Toàn bộ hệ thống Linux dùng mặc định dịch vụ udisks2 (nghĩa là gần như toàn bộ server, laptop, máy trạm sử dụng Ubuntu, Debian, Fedora, openSUSE,...)
  • Doanh nghiệp vừa và nhỏ, startup, tổ chức giáo dục thường dùng Linux mà không có đội ngũ bảo mật chuyên sâu, đây là nhóm đối tượng dễ bị khai thác nhất

Mức độ nguy hiểm & phạm vi ảnh hưởng

  • Mức độ nguy hiểm: Cực kỳ nghiêm trọng (privilege escalation toàn hệ thống)
  • Đối tượng bị ảnh hưởng: Server, máy tính cá nhân dùng Linux
  • Phân phối Linux bị ảnh hưởng: Ubuntu, Debian, Fedora, openSUSE...
  • Khả năng khai thác: Rất cao, không cần mã độc phức tạp
  • Mức độ phổ biến: Gần như tất cả hệ thống Linux cài mặc định
  • Hậu quả tiềm ẩn: Vô hiệu hóa phần mềm bảo mật, cài mã độc, đánh cắp dữ liệu, di chuyển ngang mạng nội bộ

Những điều cần đặc biệt lưu ý​

  • Lỗi không nằm trong một phần mềm bên ngoài mà nằm ngay trong cấu hình mặc định của hệ thống.
  • Không cần cài đặt gì thêm chỉ cần có tài khoản người dùng, hacker có thể tận dụng cấu hình sai để leo thang quyền.
  • Polkit (PolicyKit) – hệ thống cấp quyền trong Linux là điểm bị khai thác chính.
  • Dịch vụ udisks2 hầu như luôn chạy mặc định trong các bản phân phối, giúp mở rộng diện tấn công rất lớn.

Người dùng cần làm gì?​

1. Kiểm tra và sửa lại quy tắc quyền (polkit)
  • Sửa file trong đường dẫn /etc/polkit-1/rules.d/ để thay đổi quyền từ "allow_active" sang "auth_admin".
  • Điều này giúp bắt buộc nhập mật khẩu quản trị khi muốn sửa đổi thiết bị.
javascript

// Thay đổi hành vi mặc định cho udisks2
polkit.addRule(function(action, subject) {
if (action.id == "org.freedesktop.udisks2.modify-device") {
return polkit.Result.AUTH_ADMIN;
}
});
Nhấn để mở rộng...
2. Cập nhật ngay hệ thống
  • Cài đặt bản vá từ nhà phát hành hệ điều hành càng sớm càng tốt.
  • Đặc biệt chú ý đến các gói: pam, udisks2, libblockdev.
  • Tắt hoặc hạn chế udisks2 nếu hệ thống không cần quản lý thiết bị lưu trữ từ xa.
3. Giám sát đăng nhập bất thường
  • Theo dõi SSH login, đặc biệt là các session đến từ IP lạ.
  • Kết hợp với cảnh báo khi có thay đổi thiết bị hoặc hành vi như mount/format USB.
Chuỗi lỗ hổng CVE-2025-6018 và CVE-2025-6019 không chỉ là một lỗi kỹ thuật, mà là một nguy cơ lớn có thể đánh sập cả hệ thống mạng nội bộ nếu bị khai thác. Với đặc điểm dễ tấn công, ảnh hưởng diện rộng và hậu quả nghiêm trọng nếu như người dùng không kiểm tra, phát hiện và cập nhật hệ thống kịp thời. Một vài dòng cấu hình có thể cứu bạn khỏi một thảm họa bảo mật toàn diện.
Theo Cyber Security News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Ingress NGINX Controller dính chuỗi lỗ hổng nghiêm trọng cho phép RCE không cần xác thực
  • Cuộc tấn công chuỗi cung ứng nhắm vào Python gây ảnh hưởng 170.000 người dùng
  • Hai lỗi nghiêm trọng của Microsoft PC Manager cho phép tấn công chuỗi cung ứng
  • VMware xử lý chuỗi lỗ hổng zero-day nghiêm trọng
  • Lỗ hổng chuỗi cung ứng trong BMC ảnh hưởng đến máy chủ của nhiều nhà sản xuất
  • Tin tặc Trung Quốc tiến hành tấn công chuỗi cung ứng để triển khai phần mềm độc hại
    • Thẻ
    cve-2025-6018 cve-2025-6019 linux pam udisks2
    Bên trên