Критическая уязвимость в ядре Linux: Обычный пользователь может стать «root»

Исследования в области безопасности выявили опасную уязвимость в ядре Linux, зарегистрированную под идентификатором CVE-2025-21756. Эта уязвимость, связанная с некорректным управлением памятью в механизме Virtual Socket (vsock), позволяет обычным пользователям получать высшие привилегии — уровень root — в системе.

Специалисты связывают эту проблему с так называемым состоянием use-after-free, при котором программа обращается к уже освобождённому или удалённому участку памяти. Хакеры могут использовать этот освободившийся участок, заполняя его своими данными, чтобы получить полный контроль над системой.

В ядре Linux механизм vsock обеспечивает взаимодействие между сервером и виртуальными машинами. Ошибка возникает в процессе переназначения (reassignment) транспорта: ссылки на сокет обрабатываются некорректно. В частности, функция удаления сокета (unbind) запускается, даже если сокет ещё не полностью привязан. В результате память очищается неправильно, что позволяет пользователю выполнять произвольный код в ядре.

Как эксплуатируется уязвимость?

Если хакер имеет локальный доступ к системе, он может:

  1. Создавать и манипулировать vsock-сокетами.
  2. Как обычный пользователь, определить адрес init_net (используя функцию vsock_diag_dump()).
  3. Применить технику ROP (Return-Oriented Programming) через функцию commit_creds(init_cred), чтобы получить привилегии root.

Модули безопасности, такие как AppArmor, не могут полностью защитить от этой атаки, поскольку эксплуатация использует незащищённые пути.

Какие версии затронуты?

Уязвимость затрагивает дистрибутивы Linux с ядрами следующих версий:

  • Все версии до 6.6.79
  • Версии до 6.12.16
  • Версии до 6.13.4
  • Версии до 6.14-rc1

Рекомендуемые меры

  1. Обновите ядро (kernel) до последней доступной версии.
  2. В системах, где обновление невозможно, ограничьте доступ к компоненту vsock и отслеживайте локальную активность пользователей.
  3. Усильте мониторинг признаков уязвимости в облачных и контейнерных средах.

CVE-2025-21756 представляет собой не только техническую, но и стратегическую угрозу. Благодаря сложной цепочке эксплуатации хакеры могут получить привилегии root, что означает полный контроль над системой. Эта уязвимость особенно опасна для облачных сред и многопользовательских систем. Администраторам систем необходимо немедленно принять соответствующие меры.