Recentemente sono state scoperte 2 nuove vulnerabilità di escalation locale dei privilegi (LPE, Local Privilege Escalation) che permettono agli aggressori di ottenere i privilegi di root sui sistemi che eseguono le principali distribuzioni GNU/Linux. Queste vulnerabilità rappresentano un serio rischio per la sicurezza dei sistemi operativi basati su GNU/Linux.
Vulnerabilità in PAM e libblockdev
CVE-2025-6018: Problema nella Configurazione di PAM
La prima vulnerabilità, identificata con il codice CVE-2025-6018, è di tale importanza che, al momento, i dettagli completi non sono ancora stati resi pubblici sul sito ufficiale del programma CVE (Common Vulnerabilities and Exposures). Questa vulnerabilità è stata rilevata all’interno della configurazione del framework PAM (PAM, Pluggable Authentication Modules) nelle distribuzioni openSUSE Leap 15 e SUSE Linux Enterprise 15.
I Moduli di Autenticazione (PAM) sono un insieme di librerie che consentono agli amministratori di configurare metodi di autenticazione in modo flessibile, senza dover modificare i programmi che li utilizzano. Questa vulnerabilità specifica consente a un utente malintenzionato, che abbia già accesso locale al sistema, di elevare i propri privilegi a quelli dell’utente “allow_active”. Tale escalation di privilegi può rappresentare un serio rischio per la sicurezza del sistema, in quanto l’utente “allow_active” potrebbe avere accesso a funzioni e dati sensibili normalmente protetti.
CVE-2025-6019: Vulnerabilità in libblockdev
La seconda vulnerabilità, CVE-2025-6019, è stata scoperta in libblockdev, una libreria che fornisce un’interfaccia unificata per la gestione dei dispositivi a blocchi. Questa falla permette a un utente con privilegi “allow_active” di ottenere i privilegi di root tramite il demone udisks.
La vulnerabilità CVE-2025-6019 rappresenta una nuova minaccia significativa per i sistemi GNU/Linux. A differenza di altre vulnerabilità che richiedono condizioni specifiche o configurazioni particolari, questa falla è particolarmente insidiosa perché sfrutta un servizio, udisks, che è presente e attivo di default sulla maggior parte delle distribuzioni GNU/Linux. Questo rende la vulnerabilità estremamente pericolosa e diffusa, aumentando il rischio per un vasto numero di sistemi.
Il servizio udisks gestisce i dispositivi di archiviazione come dischi rigidi e unità USB nelle distribuzioni GNU/Linux. Opera in background e utilizza il sistema di messaggistica D-Bus per montare e smontare automaticamente i dispositivi quando vengono collegati o rimossi, rendendoli accessibili all’utente. Inoltre, gestisce i permessi di accesso e si integra con l’ambiente desktop per facilitare l’interazione dell’utente con i dispositivi di archiviazione.
Rischi e Impatti
Sfruttare con successo queste 2 vulnerabilità come parte di un exploit a catena, che permette di passare da un accesso locale a privilegi di amministratore (local-to-root), può consentire agli aggressori di ottenere rapidamente i privilegi di root e assumere il controllo completo di un sistema SUSE. Tuttavia, la vulnerabilità in libblockdev/udisks rappresenta un grave pericolo anche se considerata singolarmente.
Saeed Abbasi, senior manager di Qualys Threat Research Unit (TRU), una divisione specializzata dell’azienda Qualys che si occupa di individuare, analizzare e divulgare vulnerabilità informatiche critiche, ha rilasciato le seguenti dichiarazioni riguardo alla vulnerabilità:
Although it nominally requires ‘allow_active’ privileges, udisks ships by default on almost all Linux distributions, so nearly any system is vulnerable.
Sebbene nominalmente richieda privilegi ‘allow_active’, udisks è installato di default su quasi tutte le distribuzioni GNU/Linux, quindi quasi qualsiasi sistema è vulnerabile.
Inoltre, ha aggiunto:
Techniques to gain ‘allow_active,’ including the PAM issue disclosed here, further negate that barrier. An attacker can chain these vulnerabilities for immediate root compromise with minimal effort.
Le tecniche per ottenere ‘allow_active’, inclusa la problematica PAM discussa qui, annullano ulteriormente quella barriera. Un aggressore può concatenare queste vulnerabilità per una immediata compromissione di root con uno sforzo minimo.
La Qualys Threat Research Unit (TRU), che ha scoperto e riportato entrambe le vulnerabilità, ha anche sviluppato exploit di prova del concetto (PoC, Proof of Concept) e ha preso di mira con successo CVE-2025-6019 per ottenere i privilegi di root su sistemi Ubuntu, Debian, Fedora e openSUSE Leap 15.
Il team di Qualys Security Advisory ha condiviso ulteriori dettagli tecnici riguardanti queste 2 vulnerabilità e ha fornito link alle patch (correzioni) di sicurezza in un post su Openwall.
Storia delle Vulnerabilità in GNU/Linux
Negli ultimi anni, i ricercatori di Qualys hanno scoperto diverse altre vulnerabilità di sicurezza in GNU/Linux che permettono agli aggressori di dirottare sistemi GNU/Linux non aggiornati, anche in configurazioni predefinite. Alcune delle vulnerabilità scoperte includono:
- PwnKit: Una falla nel componente pkexec di Polkit.
- Looney Tunables: Una vulnerabilità nel caricatore dinamico ld.so di glibc.
- Sequoia: Una falla nel livello del filesystem del Kernel.
- Baron Samedit: Una vulnerabilità nel programma Unix Sudo.
Poco dopo la divulgazione della vulnerabilità Looney Tunables, exploit di prova del concetto (PoC) sono stati pubblicati online. Un mese dopo, gli aggressori hanno iniziato a sfruttarla per rubare le credenziali dei fornitori di servizi cloud (CSP) utilizzando il malware Kinsing.
Qualys ha recentemente trovato anche 5 vulnerabilità LPE introdotte oltre 10 anni fa nell’utility needrestart, utilizzata di default in Ubuntu GNU/Linux 21.04 e versioni successive.
Nonostante la loro reputazione di robustezza e sicurezza, anche i sistemi GNU/Linux non sono infallibili e possono presentare vulnerabilità. Questo ci ricorda che la sicurezza informatica è un campo in continua evoluzione, dove nuove minacce emergono costantemente e richiedono attenzione e aggiornamenti continui. Tuttavia, grazie alla loro architettura aperta e alla comunità di sviluppatori attivi, i sistemi GNU/Linux rimangono tra i più intrinsecamente sicuri tra tutti i sistemi operativi, offrendo una piattaforma stabile e affidabile per una vasta gamma di applicazioni.
Fonte: https://www.openwall.com/lists/oss-security/2025/06/17/5
Fonte: https://www.bleepingcomputer.com/news/linux/new-linux-udisks-flaw-lets-attackers-get-root-on-major-linux-distros/
Source: Read More