Vulnerabilità CVE-2025-6019
Gli aggressori possono ora sfruttare due vulnerabilità di escalation dei privilegi locali (LPE) scoperte di recente per ottenere l'accesso root completo sui sistemi che eseguono le distribuzioni Linux più diffuse. Queste falle, se non corrette, rappresentano un grave rischio per gli ambienti aziendali.
Sommario
CVE-2025-6018: La configurazione errata del PAM apre la porta
La prima vulnerabilità, identificata come CVE-2025-6018, risiede nella configurazione del framework Pluggable Authentication Modules (PAM). Riguarda openSUSE Leap 15 e SUSE Linux Enterprise 15. Questa falla consente agli aggressori locali di aumentare i propri privilegi fino a quelli dell'utente speciale "allow_active", un passaggio fondamentale per la compromissione dei permessi di root.
CVE-2025-6019: libblockdev + Udisks equivale a root completo
La seconda falla, CVE-2025-6019, risiede in libblockdev e colpisce il demone udisks, un servizio di gestione dello storage eseguito di default sulla maggior parte dei sistemi Linux. Questa vulnerabilità consente a un utente con privilegi di tipo "allow_active" di elevare i privilegi direttamente a root. Poiché udisks è ampiamente distribuito e attivo di default, quasi tutti i sistemi Linux sono a rischio.
Catena di sfruttamento: dall’accesso locale alla radice in pochi secondi
Gli aggressori possono combinare queste due vulnerabilità in un exploit a catena "local-to-root". Innanzitutto, sfruttano la falla PAM per ottenere lo stato "allow_active", quindi sfruttano la falla udisks per ottenere l'accesso root completo. Questa combinazione riduce significativamente la barriera alla compromissione, rendendo possibile il controllo dei sistemi SUSE quasi istantaneamente.
Rischio tra distribuzioni: non solo un problema di SUSE
Sebbene scoperto nei sistemi SUSE, i ricercatori hanno dimostrato che CVE-2025-6019 colpisce anche altre importanti distribuzioni, tra cui Ubuntu, Debian e Fedora. Utilizzando exploit proof-of-concept (PoC), sono riusciti a ottenere i privilegi di root su queste piattaforme, confermando l'ampia applicabilità dell'attacco.
Accesso root: una porta d’accesso a minacce più profonde
Ottenere i privilegi di root è lo scenario peggiore: consente la manomissione degli agenti, l'attivazione di meccanismi di persistenza e il movimento laterale tra le reti. Una macchina non patchata potrebbe mettere a repentaglio la sicurezza di un'intera flotta di server.
Agisci in fretta: il rischio universale richiede un intervento immediato
Data l'ubiquità degli udisk e la facilità con cui funziona la catena di exploit, le organizzazioni devono trattare questa vulnerabilità come critica. L'immediata patching sia della configurazione PAM che della falla libblockdev/udisks è essenziale per eliminare questo percorso verso la compromissione della root.
Un modello di minacce Linux persistenti
Queste falle LPE fanno parte di una tendenza crescente nelle minacce alla sicurezza Linux. Altre vulnerabilità di alto profilo recenti includono:
- PwnKit (pkexec di Polkit)
- Looney Tunables (ld.so di glibc)
- Sequoia (livello del file system del kernel)
- Barone Samedit (escalation dei privilegi Sudo)
Nel caso di Looney Tunables, il codice PoC è stato rilasciato poco dopo la divulgazione. Nel giro di un mese, sono emersi attacchi reali che utilizzavano il malware Kinsing per rubare le credenziali dei provider di servizi cloud (CSP).
Conclusione: proteggi subito la tua infrastruttura Linux
La scoperta di CVE-2025-6018 e CVE-2025-6019 rafforza l'urgente necessità di una gestione continua delle patch e di un monitoraggio proattivo. Queste vulnerabilità rappresentano un rischio critico e trasversale e devono essere affrontate immediatamente per evitare compromissioni a livello di root.
