Los investigadores de ciberseguridad han descubierto dos fallas de ascenso de privilegios locales (LPE) que podrían explotarse para obtener privilegios de raíz en máquinas que ejecutan distribuciones principales de Linux.
Las vulnerabilidades, descubiertas por Qualys, se enumeran a continuación –
- CVE-2025-6018 – LPE de no privilegiado a permitido en los módulos de autenticación de Suse 15 (PAM)
- CVE-2025-6019 – LPE de ILOMED_ACTIVE a root en libblockdev a través del demonio UDISKS
“Estas exploits modernas de ‘regional a raíz’ han colapsado la brecha entre un becario popular y iniciado por el sistema y una adquisición completa del sistema”, dijo Saeed Abbasi, apoderado senior de la Pelotón de Investigación de Amenazas de Qualys (TRU).
“Al encadenar servicios legítimos, como udisks, montajes de rizo y peculiaridades PAM/entorno, los atacantes que poseen cualquier GUI activa o sesión de SSH pueden avanzar en la zona de confianza Atod_active de Polkit y emerger como raíz en segundos”.
La compañía de seguridad cibernética dijo que CVE-2025-6018 está presente en la configuración PAM de OpenSuse Leap 15 y Suse Linux Enterprise 15, lo que permite a un atacante regional no privilegiado elevar al becario “permitido” y vocear a las acciones de Polkit que de otro modo están reservadas para un becario físicamente presente.
CVE-2025-6019, por otro banda, afecta a Libblockdev y es explotable a través del demonio UDISKS incluido de forma predeterminada en la mayoría de las distribuciones de Linux. Esencialmente permite que un becario “permitido” obtenga privilegios de raíz completos al encadenarlo con CVE-2025-6018.
“Aunque nominalmente requiere privilegios ‘tampables’, UDISKS se envía de forma predeterminada en casi todas las distribuciones de Linux, por lo que casi cualquier sistema es pasivo”, agregó Abbasi. “Técnicas para percibir ‘Alok_Active’, incluido el problema de PAM revelado aquí, niegan aún más esa barrera”.
Una vez que se obtienen los privilegios de la raíz, un atacante tiene acercamiento a la carta blanca al sistema, lo que permite usarlo como trampolín para acciones más amplias posteriores a la compromiso, como alterar los controles de seguridad e implantar la parte trasera para el acercamiento encubierto.
Qualys dijo que ha desarrollado exploits de prueba de concepto (POC) para confirmar la presencia de estas vulnerabilidades en varios sistemas operativos, incluidos Ubuntu, Debian, Fedora y OpenSuse Leap 15.
Para mitigar el peligro planteado por estos defectos, es esencial aplicar parches proporcionados por los proveedores de distribución de Linux. Como soluciones temporales, los usuarios pueden modificar la regla de Polkit para “org.freedesktop.udisks2.modify-device” para exigir que la autenticación del administrador (“auth_admin”).
Defecto revelado en Linux Pam
La divulgación se produce cuando los mantenedores de Linux Pam resolvieron una rotura transversal de la ruta de entrada severidad (CVE-2025-6020Puntaje CVSS: 7.8) que asimismo podría permitir que un becario regional se intensifique a los privilegios de la raíz. El problema se ha solucionado en la traducción 1.7.1.
“Dijo el módulo PAM_NAMESPACE en Linux-Pam.
Los sistemas Linux son vulnerables si usan PAM_NAMESSpace para configurar directorios poliinstanciados para los cuales la ruta al directorio de poliinstanciado o directorio de instancias está en control del becario. Como posibilidad para CVE-2025-6020, los usuarios pueden deshabilitar PAM_NAMESSpace o cerciorarse de que no funcione en rutas controladas por el becario.
Olivier Bal-Petre de Anssi, quien informó la rotura a los mantenedores el 29 de enero de 2025, dijo que los usuarios asimismo deben poner al día su espacio de nombres.
