В сообществе информационной безопасности опубликована рабочая proof-of-concept (PoC) модель эксплуатации для критической уязвимости CVE-2025-8941 в подключаемых модулях аутентификации (Pluggable Authentication Modules, PAM), используемых в различных дистрибутивах Linux. Оценка по шкале CVSS составляет 7.8 баллов, что соответствует высокому уровню серьезности. Уязвимость позволяет локальным злоумышленникам с низкими привилегиями повысить свои права до уровня root через сложную атаку типа "состояние гонки" и манипуляции с символьными ссылками.
Детали уязвимости
Проблема обнаружена в модуле pam_namespace компонента Linux-PAM, который отвечает за управление пространствами имен для отдельных пользователей. Основная причина уязвимости заключается в неправильной обработке путей, контролируемых пользователем, в процессе настройки пространства имен. При определенных условиях злоумышленники могут создавать символьные ссылки, которые перенаправляют процесс создания каталогов PAM в чувствительные системные расположения. При правильной синхронизации эта переадресация позволяет создавать или модифицировать файлы с правами root, что фактически предоставляет полный контроль над системой.
Вектор атаки является локальным и требует взаимодействия с пользователем, при этом для успешной эксплуатации достаточно низкого уровня привилегий. Основное воздействие включает эскалацию привилегий до root и потенциальную утечку данных. Хотя сложность атаки оценивается как умеренная, последствия для незащищенных систем могут быть катастрофическими. Опубликованная proof-of-concept модель наглядно демонстрирует, как злоумышленник может манипулировать временными параметрами файловой системы для получения прав root, что может привести к полной компрометации системы или раскрытию конфиденциальной информации.
Исследователи безопасности предупреждают, что после успешной эксплуатации злоумышленники могут отключать конфигурации безопасности, получать доступ к конфиденциальным данным или устанавливать постоянные бэкдоры. Это делает быстрое устранение уязвимости критически важным. Особенно высокому риску подвержены общедоступные системы, многопользовательские серверы и среды разработки, где несколько пользователей имеют локальный доступ к системе.
Все версии Linux-PAM, выпущенные до последнего патча поставщика, считаются уязвимыми. Администраторам настоятельно рекомендуется немедленно обновить систему через каналы безопасности своего дистрибутива. В качестве временных мер защиты можно рекомендовать мониторинг необычного создания символьных ссылок и развертывание систем обнаружения вторжений на уровне хоста (HIDS). Однако эти меры обеспечивают лишь частичную защиту и не являются окончательным решением проблемы.
Передовые практики усиления защиты системы, включая ограничение прав записи во временных каталогах и изоляцию непривилегированных пользователей, могут уменьшить поверхность атаки. Тем не менее, только применение официального патча полностью устраняет основную проблему. Раскрытие работоспособной proof-of-concept модели подчеркивает срочность управления исправлениями и демонстрирует, насколько тонкие уязвимости файловой системы могут иметь разрушительные последствия для безопасности, если их вовремя не устранить.
Эксперты отмечают, что данная уязвимость является примером сложных логических ошибок, которые могут оставаться незамеченными в течение длительного времени в критически важных компонентах системы аутентификации. Функциональность pam_namespace, предназначенная для создания изолированных сред для разных пользователей, при неправильной реализации становится вектором атаки, позволяющим обойти базовые механизмы безопасности операционной системы.
Особенность данной уязвимости заключается в том, что она сочетает в себе два классических типа уязвимостей: состояние гонки и неправильную обработку символьных ссылок. Это делает ее особенно коварной и сложной для обнаружения с помощью стандартных средств анализа безопасности. Атака требует точной синхронизации действий злоумышленника, но при наличии достаточных вычислительных ресурсов и знаний может быть успешно выполнена в реальных условиях.
Распространение proof-of-concept кода в открытом доступе значительно упрощает задачу для потенциальных злоумышленников, одновременно предоставляя исследователям безопасности и разработчикам инструменты для лучшего понимания и защиты от подобных угроз. Это создает противоречивую ситуацию, когда с одной стороны увеличивается непосредственная опасность для незащищенных систем, а с другой стороны ускоряется процесс разработки и внедрения защитных мер.
Ссылки
- https://www.ameeba.com/blog/cve-2025-8941-critical-privilege-escalation-vulnerability-in-linux-pam/
- https://www.cve.org/CVERecord?id=CVE-2025-8941
- https://access.redhat.com/security/cve/CVE-2025-8941
- https://bugzilla.redhat.com/show_bug.cgi?id=2388220
