Cảnh báo an ninh: Hacker có thể chiếm quyền root chỉ bằng tài khoản không đặc quyền
Một chuỗi lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trên các hệ điều hành Linux, cho phép hacker chiếm toàn quyền điều khiển hệ thống chỉ bằng tài khoản người dùng thông thường. Hai lỗ hổng có mã định danh CVE-2025-6018 và CVE-2025-6019 đang khiến cộng đồng an ninh mạng toàn cầu báo động đỏ
Cách thức tấn công: Từ tài khoản thường đến quyền root
Chuỗi tấn công này bao gồm hai giai đoạn:
- CVE-2025-6018 – Lỗi cấu hình PAM trên SUSE: Hệ thống xác thực PAM định danh sai người dùng SSH từ xa, xem họ như người dùng “active” tại máy vật lý. Điều này mở ra quyền truy cập đến các tính năng hệ thống vốn bị giới hạn.
- CVE-2025-6019 – Leo thang đặc quyền qua udisks2/libblockdev: Khi đã được xem là “active”, hacker có thể sử dụng các API của udisks2 để thực hiện thao tác hệ thống như mount, format ổ đĩa mà không cần mật khẩu root 1.
Kết hợp hai lỗ hổng này, hacker có thể từ một tài khoản SSH không đặc quyền → trở thành người dùng active → chiếm quyền root toàn hệ thống.
Phạm vi ảnh hưởng: Gần như toàn bộ hệ thống Linux phổ biến
Các bản phân phối Linux bị ảnh hưởng bao gồm:
- Ubuntu
- Debian
- Fedora
- openSUSE
Đặc biệt, các hệ thống sử dụng dịch vụ udisks2 mặc định đều có nguy cơ bị khai thác. Nhóm đối tượng dễ bị tấn công nhất là các doanh nghiệp vừa và nhỏ, tổ chức giáo dục, startup – nơi thường thiếu đội ngũ bảo mật chuyên sâu
Mức độ nguy hiểm và hậu quả tiềm ẩn
- Mức độ nguy hiểm: Cực kỳ nghiêm trọng (privilege escalation toàn hệ thống)
- Khả năng khai thác: Rất cao, không cần mã độc phức tạp
- Hậu quả: Hacker có thể vô hiệu hóa phần mềm bảo mật, cài mã độc, đánh cắp dữ liệu, di chuyển ngang trong mạng nội bộ
Giải pháp phòng ngừa
- Cập nhật bản vá bảo mật mới nhất từ nhà phát hành Linux
- Kiểm tra cấu hình PAM và dịch vụ udisks2
- Giới hạn quyền truy cập SSH và sử dụng xác thực đa yếu tố
- Giám sát hệ thống thường xuyên để phát hiện hành vi bất thường