Pesquisadores da Qualys Threat Research Unit (TRU) identificaram duas graves vulnerabilidades locais de escalada de privilégios (LPE) no Linux . A primeira delas, CVE-2025-6018, está na configuração do PAM (Pluggable Authentication Modules) do openSUSE Leap 15 e do SUSE Linux Enterprise 15. Essa falha faz com que um usuário local não privilegiado – mesmo conectado por SSH – seja tratado como “ativo” (presente no console), ganhando o contexto especial allow_active e podendo executar ações do sistema reservadas a quem está fisicamente no terminal . A segunda vulnerabilidade, CVE-2025-6019, atinge a biblioteca libblockdev, explorável via o daemon udisks (presente por padrão na maioria das distribuições). Se um usuário já tiver privilégios allow_active, essa falha permite elevar seu acesso diretamente para root . Em outras palavras, combinando essas duas brechas qualquer invasor com uma sessão ativa (gráfica ou SSH) pode assumir o sistema completo em segundos . Dada a ubiquidade do udisks e a simplicidade do ataque, especialistas alertam que este é um risco crítico e recomendam correções imediatas.
Principais pontos das vulnerabilidades:
- CVE-2025-6018 (PAM/SUSE 15): falha na configuração do PAM no openSUSE Leap 15/SLE 15 que faz com que qualquer login local (incluindo SSH) seja considerado “ativo” (no console). Isso dá ao invasor privilégios allow_active, permitindo executar ações do Polkit (sistema de controle de permissões) que deveriam exigir presença física.
- CVE-2025-6019 (udisks/libblockdev): falha no serviço de gerenciamento de discos udisks (usuário em quase todas as distros) que, se explorada por alguém com contexto allow_active, eleva esse usuário até root.
- Ataque encadeado: o invasor pode primeiro explorar o bug do PAM para obter allow_active e em seguida usar a falha do udisks/libblockdev para virar root.
- Risco crítico: segundo a Qualys, essas brechas “colapsaram a lacuna entre um usuário comum e o controle total do sistema”, pois todos os componentes necessários já vêm instalados nas distros Linux modernas . Organizações devem aplicar os patches rapidamente.
Como as falhas funcionam
No Linux, o PAM gerencia como usuários fazem login e inicia sessões. No openSUSE Leap 15/SLE 15, a configuração do PAM foi feita de forma incorreta: ela trata todo login local (até por SSH) como se o usuário estivesse fisicamente presente no console . Esse contexto “allow_active” normalmente dá acesso a certas operações privilegiadas do Polkit – um serviço de autorização do sistema – que deveriam ser restritas a usuários que operam diretamente na máquina. Com o bug, um usuário sem privilégios é indevidamente considerado ativo e passa a poder executar ações que deveria estar impedido de fazer.
Já o udisks é um serviço de armazenamento que roda por padrão na maioria dos sistemas Linux . Ele oferece interfaces via D-Bus para montar, formatar e consultar dispositivos de disco, fazendo chamadas internas à biblioteca libblockdev. A falha CVE-2025-6019 está nessa biblioteca e, quando acionada via o udisks, ela permite que qualquer usuário com o contexto allow_active eleve-se diretamente a root . Em suma: a primeira falha (no PAM) dá ao invasor o status de usuário “ativo”; a segunda (no udisks/libblockdev) transforma esse status em privilégios totais de root.
Impacto
O ataque encadeado ocorre em instantes. Como observou a Qualys, invasores com qualquer sessão SSH ou gráfica ativa podem “saltarem da conta normal para root em segundos” usando apenas componentes padrão do sistema . Com acesso root, o invasor tem controle completo do servidor: ele pode desativar ferramentas de segurança, instalar backdoors de kernel, alterar configurações críticas e passar furtivamente por outros servidores na rede . Em suma, um servidor comprometido pode virar um ponto de partida para ataques mais abrangentes.
Mitigação e recomendações
- Atualize o sistema: aplique o quanto antes os patches oficiais para o PAM (openSUSE/SLE) e para o pacote libblockdev/udisks disponibilizados pelos fornecedores.
- Endureça o Polkit: enquanto não for possível corrigir, ajuste a política de autorização para ações do udisks. Por exemplo, altere a regra org.freedesktop.udisks2.modify-device para exigir autenticação de administrador em vez de permitir qualquer usuário ativo.
Essas vulnerabilidades mostram uma falha grave: praticamente qualquer usuário Linux comum pode se tornar root rapidamente se explorar ambas as falhas. Portanto, mantenha os sistemas sempre atualizados e siga as orientações dos fornecedores para aplicar as correções de segurança.
