Los investigadores de ciberseguridad han descubierto dos fallas de escalada de privilegios locales (LPE) que podrían explotarse para obtener privilegios de raíz en máquinas que ejecutan distribuciones principales de Linux.
Las vulnerabilidades, descubiertas por Qualys, se enumeran a continuación –
- CVE-2025-6018 – LPE de no privilegiado a permitido en los módulos de autenticación de Suse 15 (PAM)
- CVE-2025-6019 – LPE de ILOMED_ACTIVE a root en libblockdev a través del demonio UDISKS
«Estas exploits modernas de ‘local a raíz’ han colapsado la brecha entre un usuario común y iniciado por el sistema y una adquisición completa del sistema», dijo Saeed Abbasi, gerente senior de la Unidad de Investigación de Amenazas de Qualys (TRU).
«Al encadenar servicios legítimos, como udisks, montajes de bucle y peculiaridades PAM/entorno, los atacantes que poseen cualquier GUI activa o sesión de SSH pueden avanzar en la zona de confianza Atod_active de Polkit y emerger como raíz en segundos».
La compañía de seguridad cibernética dijo que CVE-2025-6018 está presente en la configuración PAM de OpenSuse Leap 15 y Suse Linux Enterprise 15, lo que permite a un atacante local no privilegiado elevar al usuario «permitido» y llamar a las acciones de Polkit que de otro modo están reservadas para un usuario físicamente presente.
CVE-2025-6019, por otro lado, afecta a Libblockdev y es explotable a través del demonio UDISKS incluido de forma predeterminada en la mayoría de las distribuciones de Linux. Esencialmente permite que un usuario «permitido» obtenga privilegios de raíz completos al encadenarlo con CVE-2025-6018.
«Aunque nominalmente requiere privilegios ‘tampables’, UDISKS se envía de forma predeterminada en casi todas las distribuciones de Linux, por lo que casi cualquier sistema es vulnerable», agregó Abbasi. «Técnicas para ganar ‘Alok_Active’, incluido el problema de PAM revelado aquí, niegan aún más esa barrera».
Una vez que se obtienen los privilegios de la raíz, un atacante tiene acceso a la carta blanca al sistema, lo que permite usarlo como trampolín para acciones más amplias posteriores a la compromiso, como alterar los controles de seguridad e implantar la parte trasera para el acceso encubierto.
Qualys dijo que ha desarrollado exploits de prueba de concepto (POC) para confirmar la presencia de estas vulnerabilidades en varios sistemas operativos, incluidos Ubuntu, Debian, Fedora y OpenSuse Leap 15.
Para mitigar el riesgo planteado por estos defectos, es esencial aplicar parches proporcionados por los proveedores de distribución de Linux. Como soluciones temporales, los usuarios pueden modificar la regla de Polkit para «org.freedesktop.udisks2.modify-device» para exigir que la autenticación del administrador («auth_admin»).
Defecto revelado en Linux Pam
La divulgación se produce cuando los mantenedores de Linux Pam resolvieron una falla transversal de la ruta de alta severidad (CVE-2025-6020Puntaje CVSS: 7.8) que también podría permitir que un usuario local se intensifique a los privilegios de la raíz. El problema se ha solucionado en la versión 1.7.1.
«Dijo el módulo PAM_NAMESPACE en Linux-Pam.
Los sistemas Linux son vulnerables si usan PAM_NAMESSpace para configurar directorios poliinstanciados para los cuales la ruta al directorio de poliinstanciado o directorio de instancias está en control del usuario. Como solución para CVE-2025-6020, los usuarios pueden deshabilitar PAM_NAMESSpace o asegurarse de que no funcione en rutas controladas por el usuario.
Olivier Bal-Petre de Anssi, quien informó la falla a los mantenedores el 29 de enero de 2025, dijo que los usuarios también deben actualizar su espacio de nombres.