Linux: scoperte due gravi vulnerabilità
Due gravi vulnerabilità di escalation dei privilegi sono state recentemente scoperte dal team di ricerca di Qualys, mettendo a rischio un ampio spettro di distribuzioni Linux. Le falle, identificate come CVE-2025-6018 e CVE-2025-6019, permettono a un utente locale non privilegiato di ottenere l’accesso completo come root, sfruttando una catena di exploit che coinvolge moduli di autenticazione e servizi di sistema ampiamente diffusi.
La prima vulnerabilità, CVE-2025-6018, riguarda una configurazione errata del modulo PAM (Pluggable Authentication Modules) in openSUSE Leap 15 e SUSE Linux Enterprise 15. A causa di una gestione impropria delle sessioni, un utente remoto con accesso SSH può essere erroneamente considerato come presente fisicamente alla console, ottenendo così privilegi normalmente riservati agli utenti locali. Questo comportamento anomalo consente l’invocazione di azioni privilegiate tramite Polkit, aprendo la strada a ulteriori abusi.
La seconda falla, CVE-2025-6019, colpisce il componente libblockdev attraverso il demone udisks, installato di default su molte distribuzioni Linux, tra cui Ubuntu, Debian, Fedora e openSUSE. Se un utente ha già ottenuto lo status “allow_active”, può sfruttare questa vulnerabilità per elevare i propri privilegi fino al livello root. Combinando le due falle, un attaccante può partire da un semplice account utente e ottenere il controllo completo del sistema in pochi passaggi.
Le implicazioni di questa catena di exploit sono significative: un attaccante potrebbe disattivare strumenti di sicurezza, installare backdoor persistenti a livello kernel, modificare configurazioni critiche e utilizzare il sistema compromesso come base per ulteriori attacchi nella rete. Sono già stati sviluppati exploit proof-of-concept che dimostrano l’efficacia dell’attacco su più distribuzioni, confermando la gravità della minaccia. Vista la diffusione dei componenti coinvolti e la semplicità dell’attacco, è fondamentale che gli amministratori di sistema applichino immediatamente le patch fornite dai rispettivi vendor. In attesa degli aggiornamenti, è possibile mitigare temporaneamente il rischio modificando le regole Polkit per richiedere l’autenticazione amministrativa in operazioni sensibili.
via GBHackers.
