Một lỗ hổng leo thang đặc quyền cục bộ (Local Privilege Escalation – LPE) nghiêm trọng đã được các nhà nghiên cứu bảo mật công bố, ảnh hưởng đến các bản phân phối Linux lớn như Fedora và SUSE, cùng nhiều hệ điều hành dựa trên Linux khác. Lỗ hổng này cho phép một người dùng không có đặc quyền root đạt được quyền truy cập quản trị trên hệ thống cục bộ.
Tổng Quan về Lỗ Hổng CVE-2025-6019
Lỗ hổng này được định danh là CVE-2025-6019. Nó tồn tại trong quá trình tương tác phức tạp giữa daemon udisksd và thư viện backend của nó, libblockdev. udisksd là một daemon hệ thống cung cấp giao diện D-Bus để quản lý các thiết bị lưu trữ, bao gồm các hoạt động như mount, unmount, format, và tạo phân vùng. Thư viện libblockdev là một thành phần cốt lõi mà udisksd sử dụng để tương tác trực tiếp với các thiết bị block cấp thấp.
Về bản chất, CVE-2025-6019 là một lỗ hổng leo thang đặc quyền cục bộ cho phép một người dùng không có đặc quyền root, nhưng thuộc nhóm allow_active, có khả năng thực hiện các hành động nhạy cảm liên quan đến đĩa—chẳng hạn như mount hoặc format các hệ thống tập tin—thông qua các lệnh gọi D-Bus đến daemon udisksd. Điều quan trọng là các hành động này thường yêu cầu quyền root để thực hiện một cách an toàn.
Sự cố phát sinh do thư viện libblockdev không xác thực đúng các hoạt động backend yêu cầu đặc quyền khi chúng được gọi từ các ngữ cảnh không có đặc quyền. Điều này có nghĩa là libblockdev không thực hiện kiểm tra đủ mạnh để đảm bảo rằng người dùng hoặc tiến trình thực hiện yêu cầu thực sự có quyền cần thiết trước khi thực hiện các thao tác cấp cao. Hậu quả là, chỉ cần tư cách thành viên nhóm (cụ thể là nhóm allow_active) được coi là đủ cho các hoạt động nhạy cảm, bỏ qua các kiểm tra đặc quyền chi tiết hơn. Điều này tạo điều kiện cho kẻ tấn công đạt được thực thi mã với quyền root.
Cơ Chế Khai Thác và Dòng Chảy Lỗ Hổng
Một Proof-of-Concept (PoC) exploit đã được công bố, chứng minh cách một người dùng trong nhóm allow_active có thể leo thang đặc quyền lên root với nỗ lực tối thiểu trong một số môi trường cấu hình sai nhất định. Lỗ hổng này đặc biệt nguy hiểm vì nó dựa vào sự tin cậy ngầm định vào các nhóm cấp hệ thống mà không có kiểm tra xác minh UID (User ID) đầy đủ hoặc xác thực ngữ cảnh chặt chẽ tại điểm thực thi.
Phân Tích Dòng Chảy Dễ Bị Tấn Công
Phân tích mã nguồn của udisks2 (gói chứa udisksd) và libblockdev đã làm rõ dòng chảy dễ bị tấn công như sau:
udisks_daemon_handle_mount → polkit_check → blkdev_mountTrong quy trình này, hàm udisks_daemon_handle_mount là điểm vào chính cho các yêu cầu mount đến udisksd. Nó nhận một yêu cầu qua D-Bus từ một người dùng hoặc ứng dụng. Sau đó, nó gọi polkit_check để kiểm tra các chính sách quyền được định nghĩa bởi Polkit (trước đây là PolicyKit). Polkit là một framework để xác định các chính sách hệ thống cục bộ, cho phép các ứng dụng không có đặc quyền tương tác với các tiến trình có đặc quyền một cách an toàn.
Vấn đề phát sinh khi kiểm tra Polkit chỉ dựa vào tư cách thành viên nhóm (ví dụ: nhóm allow_active) mà không có kiểm tra UID cụ thể hoặc kiểm tra ngữ cảnh chi tiết hơn. Nếu kiểm tra Polkit cho rằng một yêu cầu từ một thành viên của nhóm allow_active là hợp lệ, nó sẽ cho phép yêu cầu tiếp tục đến hàm blkdev_mount. Hàm blkdev_mount, chạy trong ngữ cảnh của daemon udisksd (thường là với quyền root hoặc các đặc quyền hệ thống cao khác), sau đó thực hiện thao tác mount mà không có sự xác thực đặc quyền bổ sung hoặc đủ mạnh từ libblockdev đối với ngữ cảnh gọi không có đặc quyền. Con đường này cho phép người dùng không có đặc quyền kích hoạt các hoạt động mount với quyền root.
Bình thường, các hoạt động liên quan đến đĩa như mount hoặc format yêu cầu quyền root hoặc thông qua một cơ chế ủy quyền chặt chẽ được kiểm soát tốt. Tuy nhiên, do lỗi logic trong libblockdev và cách Polkit được cấu hình mặc định để tin cậy các nhóm nhất định, thư viện này đã không thực hiện đủ các kiểm tra xác thực quyền khi một yêu cầu đến từ một ngữ cảnh người dùng không có đặc quyền nhưng thuộc một nhóm được tin cậy. Điều này làm cho việc tham gia vào nhóm allow_active trở thành một lỗ hổng nghiêm trọng, biến nó từ một cơ chế quản lý tiện lợi thành một vector tấn công tiềm năng cho leo thang đặc quyền.
Thực Thi Proof of Concept (PoC)
Việc khai thác lỗ hổng này có thể được kích hoạt bằng một đoạn mã Python đơn giản, hoặc thông qua các công cụ dòng lệnh tương tác với D-Bus. Mặc dù không có mã PoC đầy đủ được cung cấp trong thông tin ban đầu, quá trình thực thi có thể được minh họa thông qua việc sử dụng lệnh udisksctl. Lệnh này là một công cụ dòng lệnh được sử dụng để tương tác với daemon udisksd qua D-Bus.
Trong một môi trường phòng thí nghiệm có cấu hình sai, việc chạy lệnh sau với tư cách người dùng không phải root sẽ dẫn đến việc mount được kiểm soát bởi quyền root, xác nhận khả năng khai thác:
udisksctl mount -b /dev/loop0Lệnh trên cố gắng mount thiết bị block /dev/loop0. Trong trường hợp lỗ hổng này, /dev/loop0 thường được tạo từ một file ảnh đĩa bởi người dùng không có đặc quyền. Khi người dùng không phải root thực hiện lệnh này, udisksctl gửi yêu cầu D-Bus đến udisksd. Nếu dịch vụ udisksd và các quy tắc Polkit được cấu hình sai theo cách đã mô tả (chỉ tin cậy tư cách thành viên nhóm mà không kiểm tra UID sâu hơn), udisksd sẽ thực hiện thao tác mount với đặc quyền của chính nó (thường là root) mà không kiểm tra kỹ lưỡng đặc quyền của người dùng gọi ban đầu. Điều này cho phép một người dùng không có đặc quyền thực hiện các thao tác file hệ thống như mount hoặc unmount, vượt qua các kiểm soát bảo mật thông thường.
Việc chuỗi lỗ hổng LPE này với các chức năng khác hoặc các lỗ hổng phụ có thể dẫn đến quyền truy cập root hoàn toàn trên hệ thống, đặc biệt nếu cấu hình hệ thống yếu hoặc không đầy đủ. Điều này bao gồm khả năng thực thi mã tùy ý, sửa đổi các tập tin hệ thống quan trọng, cài đặt phần mềm độc hại, hoặc tạo tài khoản người dùng mới với đặc quyền cao nhất, dẫn đến một cuộc tấn công chiếm quyền kiểm soát hệ thống hoàn toàn.
Ảnh Hưởng và Rủi Ro
CVE-2025-6019 là một lời nhắc nhở rõ ràng về rủi ro của sự tin cậy ngầm định vào các nhóm cấp hệ thống và tầm quan trọng của việc kiểm tra ranh giới đặc quyền mạnh mẽ trong các daemon backend. Khi một người dùng không có đặc quyền có thể thực hiện các hành động quản trị hệ thống, toàn bộ hệ thống sẽ trở thành mục tiêu tiềm năng cho các cuộc tấn công tiếp theo. Kẻ tấn công có thể lợi dụng điều này để:
- Thực thi mã tùy ý với quyền root: Đây là hậu quả trực tiếp nhất, cho phép kẻ tấn công cài đặt phần mềm độc hại, tạo backdoor, sửa đổi các thành phần hệ điều hành cốt lõi hoặc các công cụ tấn công khác mà không bị phát hiện.
- Truy cập và sửa đổi dữ liệu nhạy cảm: Kẻ tấn công có thể truy cập các tập tin cấu hình hệ thống, nhật ký bảo mật, dữ liệu người dùng được bảo vệ, và các thông tin bí mật khác. Khả năng sửa đổi các tập tin này có thể dẫn đến phá hoại hệ thống hoặc che giấu dấu vết tấn công.
- Kiểm soát hoàn toàn hệ thống: Bao gồm khả năng tắt các cơ chế bảo mật (như tường lửa, SELinux/AppArmor), tạo người dùng mới với đặc quyền root, thay đổi cấu hình mạng để chuyển hướng lưu lượng hoặc khởi động các cuộc tấn công DDoS từ hệ thống bị xâm nhập.
- Duy trì quyền truy cập dai dẳng: Sau khi đạt được quyền root, kẻ tấn công có thể thiết lập các cơ chế duy trì quyền truy cập để có thể quay lại hệ thống bất cứ lúc nào, ngay cả sau khi hệ thống khởi động lại.
Trong bối cảnh môi trường đa người dùng hoặc các hệ thống bị xâm nhập ban đầu bởi một tài khoản người dùng thông thường (ví dụ, qua lỗ hổng RCE cấp thấp), lỗ hổng LPE này cung cấp một con đường trực tiếp và hiệu quả để đạt được quyền kiểm soát hệ thống hoàn toàn, biến nó thành một mối đe dọa cực kỳ nghiêm trọng đối với tính toàn vẹn và bảo mật của hệ thống.
Biện Pháp Giảm Thiểu và Khuyến Nghị
Để giảm thiểu mối đe dọa nghiêm trọng từ CVE-2025-6019, tất cả người dùng và quản trị viên hệ thống được khuyến nghị thực hiện các hành động sau một cách khẩn cấp:
Cập Nhật Phần Mềm
Ngay lập tức cập nhật các gói udisks2 và libblockdev lên các phiên bản đã vá lỗi. Các nhà cung cấp bản phân phối Linux lớn như Fedora và SUSE, cùng nhiều bản phân phối khác, đã nhanh chóng phát hành các bản vá để khắc phục lỗ hổng này. Việc cập nhật đảm bảo rằng các lỗi logic trong xác thực đặc quyền đã được sửa chữa, và thư viện libblockdev thực hiện kiểm tra quyền đầy đủ hơn.
Củng Cố Chính Sách Polkit
Song song với việc cập nhật gói phần mềm, các bản phân phối Linux cũng đã cập nhật các quy tắc Polkit để thực thi các kiểm tra dựa trên UID nghiêm ngặt hơn. Điều này loại bỏ mô hình tin cậy chỉ dựa vào tư cách thành viên nhóm và yêu cầu xác thực cả nhóm lẫn UID của người dùng cho các hành động yêu cầu đặc quyền. Quản trị viên nên:
- Kiểm tra lại các chính sách Polkit hiện có: Đảm bảo rằng không có quy tắc tùy chỉnh nào vô tình bỏ qua các kiểm tra UID mới hoặc cấp quyền quá rộng cho các hoạt động quản lý đĩa. Cần xác nhận rằng các chính sách đã được điều chỉnh để yêu cầu xác thực kép.
- Áp dụng các quy tắc Polkit chặt chẽ hơn: Thắt chặt quyền truy cập vào các hoạt động quản lý đĩa bằng cách chỉ cấp quyền cho các người dùng hoặc nhóm thực sự cần thiết thông qua các chính sách Polkit được định nghĩa rõ ràng và có tính chất hạn chế. Điều này bao gồm việc kiểm tra kỹ lưỡng các tệp chính sách
.policyvà.rulesliên quan đếnudisks2.
Mục đích của việc cập nhật và củng cố Polkit là để đảm bảo rằng ngay cả khi một yêu cầu đến từ một thành viên của nhóm allow_active, nó vẫn phải trải qua một lớp kiểm tra bổ sung dựa trên UID của người dùng, đảm bảo rằng chỉ người dùng được ủy quyền rõ ràng mới có thể thực hiện các hành động đặc quyền.
Kiểm Tra Quyền Dựa Trên Nhóm
Tiến hành kiểm tra toàn diện các quyền dựa trên nhóm trong hệ thống của bạn. Đảm bảo rằng chỉ những người dùng thực sự cần thiết mới được thêm vào các nhóm hệ thống có đặc quyền như allow_active hoặc các nhóm tương tự có thể tương tác với các daemon cấp hệ thống như udisksd. Việc giảm thiểu số lượng người dùng trong các nhóm đặc quyền giúp hạn chế bề mặt tấn công tiềm năng và giảm rủi ro nếu một tài khoản người dùng bị xâm nhập.
Việc kết hợp cập nhật phần mềm, củng cố chính sách Polkit, và kiểm tra quyền truy cập là các bước thiết yếu để bảo vệ hệ thống khỏi CVE-2025-6019 và các lỗ hổng LPE tương tự khác, đảm bảo tính toàn vẹn và bảo mật của môi trường Linux.
