Уязвимость в SUSE Manager, позволяющая выполнять root-операции без аутентификации

31.07.2025 11:27

В инструментарии SUSE Manager, предназначенном для централизованного управления IT-инфраструктурой, в которой используются различные дистрибутивы Linux, выявлена уязвимость (CVE-2025-46811), позволяющая без аутентификации выполнять команды на любых системах, обслуживаемых через SUSE Manager. Команды выполняются с правами root, что позволяет получить полный контроль над всей инфраструктурой. Проблеме присвоен критический уровень опасности (9.3 из 10).

Уязвимость вызвана наличием обработчика, принимающем команды через протокол WebSocket (вызов "/rhn/websocket/minion/remote-commands"), не ограничивая при этом доступ. Любой пользователь, имеющий возможность отправки пакетов на сетевой порт 443 на сервере с SUSE Manager, может выполнить произвольные команды с правами root на всех системах, управляемых через SUSE Manager. Для обращения без аутентификации достаточно просто не отправлять идентификатор сеанса (SessionId) при формировании запроса.

Проблема проявляется как в отдельно распространяемых сборках SUSE Manager, так и в установочных образах и контейнерах с SUSE Linux, поставляемых с SUSE Manager (например, SLES15-SP4-Manager-Server). Уязвимость присутствует вплоть до версии SUSE Manager 5.0.4.1 и устранена в обновлениях 4.3.16 и 5.0.5.

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/63651-suse

Ключевые слова: suse

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (32)

1.2, Аноним (2), 11:46, 31/07/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
И почему же не 10 из 10?

2.3, Аноним (3), 11:49, 31/07/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Потому, что есть CVSS калькулятор

2.7, Аноним (7), 12:02, 31/07/2025 [^] [^^] [^^^] [ответить]	+3 +/–
Наверно, потому что этот самый менеджер наверняка за файерволом спрятан и простым смертным не очень то и доступен. Если какой-то приличной конторе хватает на эту шнягу денег, то на сетевиков и безопасников тоже должно хватать. Но вот беда - те немногие привилегированные смертные, которым он доступен, оказывается могут элементарно прокачаться до уровня бох.

3.10, Аноним (10), 13:22, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
Т.е. у тех кто присвоил уровень опасности 9.3/10 он за фаерволом, а если кто-то его запустил без фаервола, то у них все равно 9.3/10?

4.26, kravich (ok), 16:28, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
man статистика

4.36, Аноним (36), 17:48, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
Лень ходить ковырять по ссылкам, просто выложу догадки. Этот самый вэбсокет вероятно опциональный и по умолчанию выключен. Или уязвимость для аутенцифицированных пользователей, но каким-то образом не передающих свое уид поле на этот самый сокет, из-за чего им присваивается уже рут. Мне не интересно, на что там сделали скидку, у меня такой шняги нет, не было и не намечается. Да и какая разница 9.3 там или все 10 - все равно срочно бегать обновляться и вычислять не проэксплойтил ли уже кто.

3.19, Аноним (-), 15:23, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
> Наверно, потому что этот самый менеджер наверняка за файерволом спрятан и простым > смертным не очень то и доступен. Как показал пример "быстро надежно и без хлопот вам разломают Аэрофлот" - обладателей того менеджера тоже разломают, как только атакующий закрепится на первом же компе в интранете. Какой же атакующий откажется от такой халявы.

4.34, dannyD (?), 17:32, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
>>атакующий закрепится на первом же компе в интранете. >>Какой же атакующий откажется от такой халявы. ну так халява в том, что внутри бардак, хп в перемешку с видеокамерами и контроллерами управления солнечными батареями и прочим барахлом. вместо того чтоб порезать на сегменты и попрятать.

5.38, Аноним (-), 18:29, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
> ну так халява в том, что внутри бардак, хп в перемешку с видеокамерами и > контроллерами управления солнечными батареями и прочим барахлом. вместо > того чтоб порезать на сегменты и попрятать. Порезать на сегменты конечно несколько усложнит жизню, но панацеей не является. Можешь почитать как юзать DPI/прозрачные прокси/файеры для отсылки данных реверсом туда куда у атакующего изначально доступа - вообще не было. Секурити фичи нормально работают только с персоналом который может это все адекватно поддерживать, имхо.

6.45, dannyD (?), 19:09, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
понятное дело, что 100% защита - только отключение внешнего кабеля, но это не повод не заниматься сеqрити как классом.

2.40, _ (??), 18:34, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
> И почему же не 10 из 10? Да тупо "Damage control" ... типо ремотный рут, но не опасный :)

2.44, penetrator (?), 19:02, 31/07/2025 [^] [^^] [^^^] [ответить]

+/–

потому что нужно соблюдение условий, например открытый 443 порт

что очень вероятно но не на 100%

оценивается же риск эксплуатации

1.4, Аноним (4), 11:51, 31/07/2025 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Интересно, кто использует в энтерпрайзе зюзю вместо нормального RHEL или его форков.

2.5, Anonimm (?), 11:54, 31/07/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Может такие же, которые в авиакомпании используют Windows XP (привет, аэрофлот)..

3.13, dannyD (?), 13:36, 31/07/2025 [^] [^^] [^^^] [ответить]	+1 +/–
>>в авиакомпании используют Windows XP рработает - не трож!

4.20, Аноним (20), 15:37, 31/07/2025 [^] [^^] [^^^] [ответить]	+1 +/–
> рработает - не трож! Ну так вот уже не работает как раз. Судя по урону - атакующие добрались до активной директории и отменеджили все что менеджится по полной программе. AD? Удобно? Атакующие одобряют.

4.22, Аноним (22), 15:57, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
С 1991 УК159 они ничего не сделали?!!

5.31, 12yoexpert (ok), 17:21, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
УльтаКороткий, вообще-то, с 2000 года, а сделал он ещё чего и, думаю, там гораздо меньше 159 см

6.39, Аноним (-), 18:32, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
> и, думаю, там гораздо меньше 159 см Ультра короткие волны - начинаются с 1 метра :)

2.8, Я (??), 12:11, 31/07/2025 [^] [^^] [^^^] [ответить]	+1 +/–
На мейнфреймах популярен

2.12, Аноним (12), 13:32, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
https://opennet.ru/63390-cluster

2.16, paulus (ok), 14:41, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
suse manager основанную на кодовой базе разработанного в недрах компании Red Hat

3.17, Аноним (4), 14:57, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
Но уязвимость только в зюзя-менеджере.

3.28, Аноним (28), 17:06, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
А так вот почему в пути /rhn/

1.6, Аноним (6), 12:00, 31/07/2025 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
SUSE кинул наш Великий Центральный Банк с поддержкой. Так что можно пользоваться, но осторожно.

2.9, Аноним (12), 13:11, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
Прекратила бизнес-отношения, и объяснила почему: https://www.opennet.me/opennews/art.shtml?num=56829

1.35, Витюшка (?), 17:37, 31/07/2025 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Ой, и без всякой AI неплохо справляются! Во дела!

1.42, Аноним (42), 18:47, 31/07/2025 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

(вызов "/rhn

SUSE Manager

гы-гы

1.52, Аноним (52), 20:52, 31/07/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>через протокол WebSocket Это и есть главная уязвимость.

2.57, Аноним (57), 23:58, 31/07/2025 [^] [^^] [^^^] [ответить]	+/–
Правильно, надо SOAP. Через SOAP такого не случилось бы!

3.58, penetrator (?), 05:11, 01/08/2025 [^] [^^] [^^^] [ответить]	+/–
SOAP это не транспорт в отличие от WebSocket

1.59, biundug (?), 10:03, 01/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Привет Аэрофлоту?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: