Високо критична уязвимост в PAM (CVE-2025-8941)

Picture of Здравко Боджов
Здравко Боджов
Уязвимости
20 октомври 2025

Важна уязвимост в рамката Pluggable Authentication Modules (PAM) бе регистрирана под идентификатор CVE-2025-8941. Проблемът произтича от сърцевината на много Linux системи и позволява на нападатели с локален достъп да използват symlink атаки и race condition, за да получат пълен root контрол над уязвими машини.

Това представлява съществен риск дори за надеждни open-source инструменти за удостоверяване и подчертава необходимостта от бърза реакция особено при сървъри и работни станции, разчитащи на Linux-PAM.

Основни факти

  • CVE: CVE-2025-8941

  • Оценка: Висока – 7.8 (CVSS v3.1)

  • Вектор на атака: Локален

  • Изисквани привилегии: Ниско ниво

  • Изисква взаимодействие с потребител: Да

  • Въздействие: Компромис на системата, изтичане на данни

Засегнати са всички версии на Linux-PAM преди наличните пачове, включително популярни дистрибуции като Ubuntu, Fedora и Red Hat Enterprise Linux. Дистанционно изпълнение не е възможно, но локалният вектор прави уязвимостта особено опасна в споделени и многопотребителски среди.

Как работи уязвимостта

Според анализа в блога на Ameeba, проблемът се крие в модула pam_namespace, който управлява namespace-ите за потребителските сесии. Неправилна обработка на контролирани от потребителя пътища позволява на нападател да създаде символни връзки (symlinks), които да пренасочат процеса при създаване на директории към чувствителни места в root файловата система.

Комбинацията с race condition позволява, при прецизно подреждане на времето, системата да създаде структури с права или местоположение, които да предадат контролa на атакуващия. Възможен резултат е промяна на права или създаване на файлове/директории в /root, след което нападателят да повиши привилегиите си до root.

Примерна опростена илюстрация (псевдокод):

# Създаване на symlink от атакуващия
ln -s /root /tmp/victim/symlink

# При race condition системният код създава директорията
# Ако timing-ът е успешен, тя се създава в домейна на root
# Атакуващият променя правата
chmod 777 /root

В реална експлоатация нападението изисква добре синхронизиран скриптинг и точна синхронизация, но при успех дава root права, които позволяват внедряване на зловреден софтуер или масивно изтичане на данни.

Риск и влияние

Локалната ескалация до root може да доведе до:

  • пълен компромис на системата,

  • разпространение на зловреден код и бекдори,

  • кражба или промяна на чувствителни данни,

  • подкопаване на доверие в корпоративни инфраструктури и крайни устройства.

Особено уязвими са среди с много потребители, хостинг среда, CI/CD сървъри и всякакви системи, където непълноправни локални потребители имат възможност за изпълнение на код.

Препоръчани мерки за смекчаване

  1. Пачване – приоритет №1: Операционните дистрибуции и доставчиците на Linux-PAM трябва да приложат официалните пачове веднага щом станат налични. Администраторите трябва да следят известията на наличните си дистрибуции и да прилагат ъпдейти незабавно.

  2. Ограничаване на локални привилегии: Прегледайте и минимизирайте правата на локални потребители и процеси. Премахнете ненужни възможности за изпълнение или писане в общодостъпни директории.

  3. Деактивиране на pam_namespace при ненужно използване: Ако функционалността не се използва, деактивирайте модула pam_namespace или свързаните му опции.

  4. Мониторинг и откриване: Настройте auditd и други инструменти за мониторинг да следят за създаване на неочаквани symlink-ове и подозрителни операции върху файлови пътища.

  5. Контрол на потребителските взаимодействия: Ограничете възможностите за изпълнение на скриптове и автоматизирани задачи от непозволени потребители.

  6. Интегрирани защити: Въпреки че WAF/IDS предоставят мрежова защита, те не могат да предотвратят локални експлоатации – затова акцентът трябва да е върху локалните привилегии и пач мениджмънта.

CVE-2025-8941 напомня, че дори основни и широко използвани компоненти като Linux-PAM могат да носят сериозни рискове. Поради възможността за локална ескалация до root, администраторите трябва да дават приоритет на инстантното прилагане на пачове, ревизията на локалните привилегии и засилен мониторинг в многопотребителски среди.

#CVE-2025-8941, # Linux-PAM, # pam_namespace, # symlink race condition, # ескалация до root
e-security.bg

Подобни

Apache OpenOffice 4.1.16 закърпва критични уязвимости
13.11.2025
vulnerabilities pexels-shkrabaanthony-5475752
Microsoft отстрани сериозен проблем в Windows 11 Task Manager
13.11.2025
windows-11-6377156_1280
Windows 11 23H2 (Home и Pro) вече не получава обновления за сигурност
12.11.2025
Windows_11_blur
Microsoft пусна първия разширен ъпдейт за Windows 10
12.11.2025
Windows-10
Microsoft публикува ноемврийските си обновления за сигурност
12.11.2025
microsoft_pexels-salvatore-de-lellis-107015876-9683980
Три критични уязвимости в runc застрашават изолацията на контейнери
11.11.2025
Stop - Ransomware - neon colors1

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Кибер въоръжаване и ИИ: Новите предизвикателства на бойното поле
4.10.2025
military-8431995_1280

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.