Vulnerabilitat CVE-2025-6019
Els atacants ara poden explotar dues vulnerabilitats d'escalada de privilegis locals (LPE) recentment descobertes per obtenir accés root complet en sistemes que executen distribucions populars de Linux. Aquests defectes, si no s'apliquen pedaços, representen un risc greu per als entorns empresarials.
Taula de continguts
CVE-2025-6018: Una configuració incorrecta de PAM obre la porta
La primera vulnerabilitat, registrada com a CVE-2025-6018, resideix en la configuració del marc de treball Pluggable Authentication Modules (PAM). Afecta openSUSE Leap 15 i SUSE Linux Enterprise 15. Aquesta falla permet als atacants locals escalar els seus privilegis als de l'usuari especial 'allow_active', un trampolí essencial per a un compromís d'arrel.
CVE-2025-6019: libblockdev + Udisks és igual a l’arrel completa
El segon defecte, CVE-2025-6019, rau a libblockdev i afecta el daemon udisks, un servei de gestió d'emmagatzematge que s'executa per defecte a la majoria de sistemes Linux. Aquesta vulnerabilitat permet a un usuari 'allow_active' elevar privilegis directament a root. Com que udisks està àmpliament implementat i actiu per defecte, gairebé qualsevol sistema Linux està en risc.
Cadena d’explotació: des de l’accés local fins a l’arrel en segons
Els atacants poden combinar aquestes dues vulnerabilitats en una explotació de cadena "local-to-root". Primer, abusen de la falla PAM per obtenir l'estat "allow_active" i després aprofiten la falla udisks per obtenir accés root complet. Aquesta combinació redueix significativament la barrera al compromís, fent possible prendre el control dels sistemes SUSE gairebé a l'instant.
Risc entre distribucions: no només un problema de SUSE
Tot i que es va descobrir en sistemes SUSE, els investigadors van demostrar que CVE-2025-6019 també afecta altres distribucions importants, com ara Ubuntu, Debian i Fedora. Mitjançant exploits de prova de concepte (PoC), van escalar amb èxit a privilegis de root en aquestes plataformes, confirmant l'àmplia aplicabilitat de l'atac.
Accés root: una porta d’entrada a amenaces més profundes
Obtenir privilegis d'arrel és el pitjor dels casos: permet la manipulació d'agents, mecanismes de persistència i moviment lateral a través de les xarxes. Una màquina sense pegats podria posar en perill la seguretat de tota una flota de servidors.
Actua ràpidament: el risc universal exigeix una aplicació immediata de pegats
Donada la ubiqüitat dels udisks i la facilitat amb què funciona la cadena d'explotacions, les organitzacions han de tractar això com una vulnerabilitat crítica. L'aplicació immediata tant de pegats a la configuració de PAM com a la falla libblockdev/udisks és essencial per eliminar aquest camí cap al compromís de l'arrel.
Un patró d’amenaces persistents de Linux
Aquests defectes de LPE formen part d'una tendència creixent en les amenaces de seguretat de Linux. Altres vulnerabilitats recents d'alt perfil inclouen:
- PwnKit (pkexec de Polkit)
- Looney Tunables (ld.so de glibc)
- Sequoia (capa del sistema de fitxers del nucli)
- Baron Samedit (escalada de privilegis Sudo)
En el cas de Looney Tunables, el codi de la prova de concepte es va publicar poc després de la seva divulgació. En un mes, van sorgir atacs del món real utilitzant programari maliciós Kinsing per robar credencials de proveïdors de serveis al núvol (CSP).
Conclusió: assegureu la vostra infraestructura de Linux ara
El descobriment de CVE-2025-6018 i CVE-2025-6019 reforça la necessitat urgent d'una gestió contínua de pegats i una supervisió proactiva. Aquestes vulnerabilitats representen un risc crític de distribució creuada i s'han d'abordar immediatament per evitar que es comprometin a nivell d'arrel.
