Nowe podatności w Linuksie umożliwiają kradzież haseł za pomocą zrzutów pamięci

Obie luki, zidentyfikowane jako CVE-2025-5054 i CVE-2025-4598, są błędami wyścigu procesów, które mogą umożliwić lokalnemu atakującemu uzyskanie dostępu do poufnych informacji. Narzędzia apport i systemd-coredump są przeznaczone do obsługi raportów o awariach i zrzutów pamięci w systemach Linux.

„Opisywane warunki wyścigu umożliwiają lokalnemu atakującemu wykorzystanie programu SUID i uzyskanie dostępu do odczytu powstałego zrzutu pamięci” – tłumaczy Saeed Abbasi, kierownik ds. produktów w Qualys TRU.

Poniżej przedstawiamy skrótowy opis podatności:

• CVE-2025-5054 (wynik CVSS: 4,7) – wyścig procesów występujący w pakiecie canonical apport do wersji 2.32.0 włącznie umożliwia lokalnemu atakującemu wyciek poufnych informacji poprzez ponowne wykorzystanie PID w przestrzeni nazw.
• CVE-2025-4598 (wynik CVSS: 4,7) – wyścig procesów występujący w systemd-coredump umożliwia atakującemu wymuszenie awarii procesu SUID i zastąpienie go plikiem binarnym bez SUID w celu uzyskania dostępu do uprzywilejowanego procesu coredum. Daje to atakującemu możliwość odczytu poufnych danych, takich jak zawartość /etc/shadow.

Szczegóły techniczne

SUID (skrót od Set User ID) to specjalne uprawnienie do pliku, które pozwala użytkownikowi na wykonywanie programu nie z własnymi uprawnieniami, ale z uprawnieniami jego właściciela.

Podczas analizowania awarii aplikacji apport próbuje wykryć, czy proces powodujący awarię działał w kontenerze, zanim wykona na nim kontrolę spójności. Oznacza to, że jeśli lokalnemu atakującemu uda się wywołać awarię w uprzywilejowanym procesie i szybko zastąpić go innym o tym samym identyfikatorze procesu, który znajduje się w przestrzeni nazw, apport spróbuje przesłać zrzut pamięci do przestrzeni nazw. Jak możemy się domyślić, zrzut pamięci może zawierać poufne informacje należące do oryginalnego, uprzywilejowanego procesu.

Stowarzyszenie Red Hat poinformowało, że CVE-2025-4598 został oceniony jako umiarkowanie krytyczny ze względu na wysoką złożoność w wykonaniu exploita. Zauważmy, że atakujący musi najpierw wygrać warunek wyścigu i posiadać nieuprzywilejowane konto lokalne.

Dodatkowo opublikowane zostały środki zaradcze – użytkownicy mogą uruchomić jako root polecenie „echo 0 > /proc/sys/fs/suid_dumpable”, aby wyłączyć możliwość generowania przez system zrzutu pamięci dla plików binarnych SUID. Parametr „/proc/sys/fs/suid_dumpable” zasadniczo kontroluje, czy programy SUID mogą generować zrzuty pamięci po awarii. Ustawienie go na zero wyłącza zrzuty pamięci dla wszystkich programów SUID i uniemożliwia ich analizę w przypadku jakichkolwiek awarii – warto mieć to na uwadze.

Podobne ostrzeżenia zostały wydane przez Amazon Linux, Debian i Gentoo. Należy zauważyć, że systemy Debian domyślnie nie są podatne na CVE-2025-4598, ponieważ nie zawierają żadnego programu do obsługi zrzutu pamięci, chyba że pakiet systemd-coredump zostanie zainstalowany ręcznie. CVE-2025-4598 nie ma wpływu na wydania Ubuntu.

Qualys opracował również kod proof-of-concept (PoC) dla obu luk, pokazując, w jaki sposób lokalny atakujący może wykorzystać zrzut pamięci uszkodzonego procesu unix_chkpwd, który służy do weryfikacji poprawności hasła użytkownika, aby uzyskać skróty haseł z pliku /etc/shadow.

Canonical w swoim własnym alercie stwierdził, że wpływ CVE-2025-5054 ogranicza się do poufności przestrzeni pamięci wywołanych plików wykonywalnych SUID, a exploit PoC może ujawnić zaszyfrowane hasła użytkowników, co ma ograniczony wpływ w świecie rzeczywistym. Być może stąd ten nie za wysoki wynik CVSS – 4,7/10.

Podsumowując, wykorzystanie błędów w zabezpieczeniach apport i systemd-coredump może poważnie naruszyć poufność systemu, ponieważ atakujący są w stanie wyodrębnić z pamięci podręcznej dane takie jak hasła czy klucze szyfrujące. Zespoły ds. cyberbezpieczeństwa powinny z pewnością przyjrzeć się opisom podatności i zakresie ich wykorzystania w swoich środowiskach.