Il team di ricerca di Qualys (Threat Research Unit) ha individuato due vulnerabilità concatenate in grado di compromettere completamente la sicurezza dei sistemi Linux più diffusi. Le falle, identificate come CVE-2025-6018 e CVE-2025-6019, riguardano rispettivamente la configurazione PAM in openSUSE Leap 15 e SUSE Linux Enterprise 15, e una componente critica del sottosistema di gestione dei dispositivi di archiviazione (libblockdev, accessibile tramite il demone udisks).

Queste due vulnerabilità, se combinate, permettono a un utente locale privo di privilegi (ad esempio connesso via SSH) di ottenere accesso root completo al sistema con un exploit semplice e veloce. Considerate la diffusione di udisks e la natura banale dell’attacco, si tratta di un rischio universale che richiede interventi urgenti da parte di amministratori e responsabili IT.

La prima vulnerabilità, CVE-2025-6018, risiede in un errore di configurazione della stack PAM (Pluggable Authentication Modules) in openSUSE e SLE 15. In questi sistemi, PAM determina quali utenti debbano essere considerati “attivi” (cioè fisicamente presenti), ai fini dell’esecuzione di operazioni privilegiate tramite polkit. A causa di una configurazione errata, anche un accesso remoto può essere interpretato come se fosse avvenuto in locale, concedendo all’utente un contesto allow_active. Questo status consente l’esecuzione di comandi normalmente riservati agli utenti davanti alla macchina.

La seconda vulnerabilità, CVE-2025-6019, riguarda invece libblockdev, una libreria usata da udisks per operazioni sui dispositivi di archiviazione. Qualsiasi utente con privilegi allow_active può sfruttare questa falla per ottenere i massimi privilegi di root. Sebbene da sola richieda già un certo livello di accesso, se combinata con CVE-2025-6018 questa vulnerabilità permette a qualsiasi utente non privilegiato di eseguire una scalata completa dei privilegi.

Crediti: Shutterstock

Crediti: Shutterstock

Un problema critico per (quasi) tutte le distribuzioni

Il demone udisks, attivo di default nella maggior parte delle distribuzioni Linux moderne (inclusi Ubuntu, Debian, Fedora, openSUSE), fornisce una comoda interfaccia D-Bus per la gestione dei dispositivi, come il montaggio automatico di dischi o la loro formattazione. Tuttavia, proprio questa ubiquità rende la falla particolarmente pericolosa, dal momento che qualsiasi macchina Linux con udisks abilitato è vulnerabile.

L’unità di ricerca di Qualys ha sviluppato exploit di prova riuscendo a dimostrare la vulnerabilità su più distribuzioni mainstream. L’attacco, sfruttando servizi di sistema legittimi, può essere portato a termine in pochi secondi da chiunque abbia accesso a un terminale utente. L’accesso root rappresenta il massimo livello di compromissione su un sistema, visto che, ottenendolo, un attaccante può disattivare software di protezione (come agenti EDR), installare backdoor persistenti a livello kernel o alterare le configurazioni di sistema per mantenere l’accesso anche dopo un riavvio.

Peggio ancora, un server compromesso in questo modo può diventare un punto d’ingresso per movimenti laterali all’interno della rete aziendale. In ambienti con infrastrutture standardizzate, un exploit automatizzato può inoltre diffondersi facilmente da una macchina all’altra, ampliando il danno in pochi minuti.

Mitigazioni consigliate: interventi immediati

Per ridurre l’impatto di CVE-2025-6019, è consigliabile modificare immediatamente le regole polkit associate all’azione org.freedesktop.udisks2.modify-device, che normalmente consente agli utenti “attivi” di modificare dispositivi di archiviazione senza autenticazione.

Nel file di configurazione delle policy di polkit, modificare la regola per org.freedesktop.udisks2.modify-device, cambiando l’impostazione allow_active setting da yes a auth_admin. Questo obbliga ogni richiesta a essere approvata da un amministratore, anche se proviene da un utente considerato attivo.

È comunque fondamentale installare al più presto le patch ufficiali fornite dalle distribuzioni Linux coinvolte, seguendo le indicazioni riportate nei bollettini di sicurezza.