Уязвимость в PAM-u2f: возможен обход двухфакторной аутентификации

PAM-u2f — это модуль, разработанный для поддержки двухфакторной аутентификации с использованием технологии U2F (Universal 2nd Factor). Он основан на стандарте FIDO и обеспечивает безопасный доступ к системе с помощью YubiKey, Feitian или других совместимых с U2F устройств.

Если вы используете openSUSE или другие системы с PAM (Pluggable Authentication Module) и применяете PAM-u2f для двухфакторной аутентификации, обратите внимание! В данном модуле недавно была обнаружена опасная уязвимость. Благодаря ей возможно обойти аутентификацию даже без физического токена, такого как YubiKey. Эта уязвимость зарегистрирована под идентификатором CVE-2025-23013.

В чём причина уязвимости?

Причина уязвимости связана с некорректной обработкой в функции pam_sm_authenticate(). Проще говоря, если в процессе двухфакторной аутентификации возникают ошибки памяти или другие технические сбои, модуль возвращает специальный код PAM_IGNORE.

Проблема в том, что система неправильно интерпретирует этот код, воспринимая его как успешное прохождение аутентификации. В результате можно выполнить команды, требующие двухфакторной аутентификации, такие как sudo или su, без использования токена.

Чем это опасно?

Если злоумышленник имеет локальный доступ к системе, он может воспользоваться этой уязвимостью, чтобы обойти защиту и получить привилегированные права. Это представляет серьёзную угрозу для безопасности системы.

Как устранить уязвимость?

Для обеспечения безопасности немедленно обновите модуль PAM-u2f. Проблема исправлена в версии PAM-u2f 1.3.1. Чтобы обновить модуль, выполните следующие действия:

Обновите систему:

sudo zypper update pam-u2f

или в других дистрибутивах:

sudo apt update && sudo apt upgrade pam-u2f

2. Проверьте конфигурации: После обновления убедитесь, что конфигурация PAM-u2f соответствует требованиям политики безопасности.

Двухфакторная аутентификация: важность и нюансы

Двухфакторная аутентификация — это неотъемлемая часть современной безопасности, играющая ключевую роль в защите пользовательских учётных записей. Однако для того, чтобы эта технология была действительно безопасной, необходимо:

• правильно настроить конфигурации;
• своевременно обновлять модули;
• использовать резервные механизмы и регулярно тестировать систему.

Помните: безопасность — это не только хорошие технологии, но и их грамотное использование!