Los atacantes pueden explotar dos vulnerabilidades de Escalamiento de Privilegios Locales (LPE) recientemente descubiertas para obtener privilegios de root en sistemas que ejecutan las principales distribuciones de Linux.
La primera falla (identificada como CVE-2025-6018) se encontró en la configuración del módulo de autenticación (Pluggable Authentication Modules - PAM) en openSUSE Leap 15 y SUSE Linux Enterprise 15, lo que permite a los atacantes locales obtener los privilegios del usuario "allow_active".
La otra falla de seguridad (CVE-2025-6019) se descubrió en libblockdev y permite que un usuario "allow_active" obtenga permisos de root a través de udisks, un servicio de gestión de almacenamiento que se ejecuta por defecto en la mayoría de las distribuciones de Linux. Dada la ubicuidad de los udisks y la simplicidad de su explotación, las organizaciones deben tratar esto como un riesgo crítico y universal e implementar parches sin demora.
Si bien el uso exitoso de estas dos fallas como parte de una explotación en cadena "de local a root" puede permitir a los atacantes obtener rápidamente el acceso de root y controlar por completo un sistema SUSE, la falla libblockdev/udisks también es extremadamente peligrosa por sí sola.
La Unidad de Investigación de Amenazas de Qualys (TRU), que descubrió e informó ambas fallas, ha desarrollado exploits de prueba de concepto y ha explotado con éxito CVE-2025-6019 para obtener privilegios de root en sistemas Ubuntu, Debian, Fedora y openSUSE Leap 15.
Aunque nominalmente requiere privilegios 'allow_active', udisks viene por defecto en casi todas las distribuciones de Linux, por lo que prácticamente cualquier sistema es vulnerable, afirmó Saeed Abbasi, gerente senior de Qualys TRU.
Las técnicas para obtener 'allow_active', incluyendo el problema de PAM revelado aquí, anulan aún más esa barrera. Un atacante puede encadenar estas vulnerabilidades para comprometer inmediatamente el sistema con un mínimo esfuerzo.
El equipo de Qualys ha compartido más detalles técnicos sobre estas dos vulnerabilidades y ha enlazado a parches de seguridad en esta publicación de Openwall.
El acceso root permite la manipulación de agentes, la persistencia y el movimiento lateral, por lo que un servidor sin parchear pone en peligro a toda la red. Se deben instalar los parches tanto en PAM como en libblockdev/udisks para eliminar esta ruta de ataque, añadió Abbasi.
Se insta a los administradores a aplicar parches de inmediato.
Fuente: BC