Scoperte due vulnerabilità concatenate che permettono a un attaccante locale di ottenere privilegi root su Linux. Disponibili le patch e i consigli di mitigazione.
Autore: Redazione SecurityOpenLab
Da tempo gli esperti allertano sulla necessità di monitorare e proteggere i sistemi Linux. Un tempo del tutto trascurato negli attacchi, oggi Linux rappresenta la spina dorsale di Internet: la maggior parte dei server web, dei servizi cloud e delle macchine virtuali utilizza questo sistema operativo. Di conseguenza, i cybercriminali sono sempre più interessati a investire nello sviluppo di attacchi specifici per Linux.
È in questo contesto che risulta rilevante la scoperta, da parte della Threat Research Unit di Qualys, di due nuove vulnerabilità che consentono l’escalation dei privilegi su sistemi Linux. Si tratta di due falle concatenate, identificate con le sigle CVE-2025-6018 e CVE-2025-6019, che permettono a un attaccante locale di ottenere privilegi di root su sistemi Linux, in particolare su openSUSE Leap 15 e SUSE Linux Enterprise 15, con impatti potenzialmente estesi a distribuzioni mainstream come Ubuntu, Debian e Fedora.
Per comprendere la portata delle vulnerabilità scoperte è necessario fare un passo indietro e sintetizzare i componenti coinvolti. Il primo è il framework PAM (Pluggable Authentication Modules), che gestisce l’autenticazione e l’avvio delle sessioni utente su Linux. In openSUSE Leap 15 e SUSE Linux Enterprise 15, la configurazione di PAM determina quali utenti hanno accesso fisico ai sistemi, e quindi sono abilitati a compiere azioni privilegiate tramite polkit. Un errore di configurazione può portare a considerare fisicamente presente anche un utente che si collega da remoto via SSH, ampliando di conseguenza la superficie di attacco.
Il secondo componente è udisks, un daemon che gira di default sulla maggior parte delle distribuzioni Linux e che serve per gestire i dischi e le unità di memoria del computer. udisks si appoggia alla libreria libblockdev che gestisce le operazioni a basso livello sui dispositivi a blocchi. Una vulnerabilità in libblockdev, raggiungibile tramite udisks, consente a un utente già in contesto allow_active di ottenere privilegi root.
La vulnerabilità CVE-2025-6018 riguarda la configurazione di PAM su openSUSE Leap 15 e SUSE Linux Enterprise 15: un attaccante non privilegiato connesso tramite una sessione SSH può sfruttare questa falla per elevare i propri privilegi a quelli dell’utente allow_active, dandogli quindi l’accesso ad azioni normalmente riservate a utenti fisicamente presenti sulla macchina. Il problema nasce dal fatto che la configurazione di PAM tratta qualsiasi login locale, inclusi quelli remoti via SSH, come se l’utente si trovasse fisicamente alla console.
La seconda vulnerabilità, CVE-2025-6019, permette a un utente in contesto allow_active di ottenere privilegi root completi. CVE-2025-6019 richiede di base il contesto allow_active, per questo è critica nel caso specifico la possibilità di concatenare questa falla con la precedente.
L’impatto di queste vulnerabilità è critico. La catena di exploit consente a un utente con solo accesso SSH di ottenere privilegi root su sistemi Linux mainstream in pochi passaggi, sfruttando solo servizi e configurazioni predefinite e senza necessità di exploit complessi. Tutti i componenti necessari, infatti, sono preinstallati nelle configurazioni standard delle principali distribuzioni server e desktop. Successivamente, l’attaccante può usare i privilegi per disabilitare agent EDR, installare backdoor a livello kernel, modificare configurazioni persistenti, utilizzare il sistema compromesso come base per movimenti laterali all’interno della rete aziendale.
I ricercatori di Qualys hanno creato e testato sul campo degli exploit di prova per verificarne la validità su openSUSE Leap 15, Ubuntu, Debian e Fedora. Questo conferma che la vulnerabilità di libblockdev/udisks è presente in modo trasversale su molte distribuzioni, il che amplia la superficie di attacco e rende la catena di exploit una minaccia universale per ambienti Linux enterprise e cloud.
La mitigazione delle vulnerabilità richiede un duplice intervento. Prima di tutto bisogna correggere la configurazione PAM per evitare che utenti remoti vengano considerati allow_active, in seconda battuta occorre modificare la policy polkit relativa all’azione org.freedesktop.udisks2.modify-device, impostando la policy da allow_active: yes a auth_admin, così da richiedere sempre l’autenticazione di un amministratore per operazioni sensibili tramite udisks.
Va da sé che sia poi caldeggiata l’installazione delle patch per le distribuzioni Linux. Sono già stati pubblicati aggiornamenti correttivi per PAM e libblockdev/udisks. Si consiglia agli amministratori di sistema di consultare le advisory ufficiali e aggiornare tutti i sistemi vulnerabili, dato che la catena di exploit è facilmente riproducibile e può essere sfruttata anche da attaccanti con competenze limitate.