Cybersecurity -onderzoekers hebben twee fouten voor het lokale privilege -escalatie (LPE) ontdekt die kunnen worden benut om wortelrechten te krijgen op machines met grote Linux -distributies.
De kwetsbaarheden, ontdekt door Qualys, worden hieronder vermeld –
- CVE-2025-6018 – LPE van PRISTILEMAST naar toestaand_active in SUSE 15’s Pluggable Authentication Modules (PAM)
- CVE-2025-6019 – LPE van Allow_Active naar Root in Libblockdev via de Udisks Daemon
“Deze moderne ‘lokaal-naar-root’-exploits hebben de kloof ingestort tussen een gewone ingelogde gebruiker en een volledige systeemovername,” zei Saeed Abbasi, senior manager bij Qualys Threat Research Unit (TRU).
“Door legitieme diensten te chainen, zoals Udisks-lus-mounts en PAM/omgevings-eigenaardigheden, kunnen aanvallers die een actieve GUI- of SSH-sessie bezitten, in Polkit’s All_Active Trust Zone en opkomen als root in seconden.”
Het Cybersecurity Company zei dat CVE-2025-6018 aanwezig is in de PAM-configuratie van OpenSuse Leap 15 en Suse Linux Enterprise 15, waardoor een ongebreidelde lokale aanvaller kan worden verhoogd naar de “Allow_Active” -gebruiker- en oproep Polkit-acties die anders gereserveerd zijn voor een fysiek aanwezige gebruiker.
CVE-2025-6019 daarentegen beïnvloedt Libblockdev en is exploiteerbaar via de Udisks-daemon die standaard wordt opgenomen op de meeste Linux-distributies. Het staat in wezen toe dat een “All_active” -gebruiker volledige rootprivileges krijgt door deze te chainen met CVE-2025-6018.
“Hoewel het nominaal ‘Allow_Active’ -privileges vereist, wordt Udisks -schepen standaard op bijna alle Linux -distributies vereist, dus bijna elk systeem is kwetsbaar,” voegde Abbasi eraan toe. “Technieken om ‘Allow_Active’ te winnen, inclusief het hier onthulde PAM -probleem, ontkent die barrière verder.”
Zodra rootprivileges zijn verkregen, heeft een aanvaller Carte Blanche-toegang tot het systeem, waardoor ze het kunnen gebruiken als een springplank voor bredere post-compromisische acties, zoals het wijzigen van beveiligingscontroles en het implanteren van achterdeuren voor geheime toegang.
Qualys zei dat het de exploits van proof-of-concept (POC) heeft ontwikkeld om de aanwezigheid van deze kwetsbaarheden op verschillende besturingssystemen te bevestigen, waaronder Ubuntu, Debian, Fedora en OpenSuse, sprong 15.
Om het risico van deze fouten te verminderen, is het essentieel om patches toe te passen die worden geleverd door de Linux -distributieleveranciers. Als tijdelijke oplossingen kunnen gebruikers de Polkit-regel voor “org.freedesktop.udisks2.modify-device” wijzigen om beheerder-authenticatie (“auth_admin”) te vereisen.
Fout bekendgemaakt in Linux Pam
De openbaarmaking komt omdat de onderhouders van Linux Pam een doorgangsfout van een hoge ernstige pad oplosten (CVE-2025-6020CVSS -score: 7.8) waardoor een lokale gebruiker ook kan escaleren naar rootprivileges. Het probleem is opgelost in versie 1.7.1.
“De module PAM_NAMESPACE in Linux-Pam <= 1.7.0 kan toegang krijgen tot door gebruikers gecontroleerde paden zonder de juiste bescherming, waardoor een lokale gebruiker zijn privileges kan verhogen via meerdere symlinkaanvallen en raceomstandigheden," zei Linux Pam Moverer Dmitry V. Levin.
Linux-systemen zijn kwetsbaar als ze PAM_NAMESPACE gebruiken om polyinstante mappen in te stellen waarvoor het pad naar de polyinstantiated directory of instantie-map onder gebruikersbeheersing staat. Als tijdelijke oplossingen voor CVE-2025-6020 kunnen gebruikers PAM_Namespace uitschakelen of ervoor zorgen dat het niet op gebruikersgecontroleerde paden werkt.
Olivier Bal-Petre van ANSSI, die de fout op 29 januari 2025 aan de onderhouder meldde, zei dat gebruikers ook hun namespace.init-script moeten bijwerken als ze niet de door hun distributie bieden om ervoor te zorgen dat de twee paden veilig zijn om op als root te werken.
