Investigadores de Qualys TRU han divulgado un combo de escalada local de privilegios que afecta a la mayoría de distribuciones Linux de escritorio y servidor. El ataque combina un error en la configuración de PAM de SUSE/openSUSE (CVE-2025-6018) con otro en libblockdev/udisks (CVE-2025-6019) para pasar de usuario sin privilegios a root. A esto se suma una tercera vulnerabilidad independiente en Linux-PAM (CVE-2025-6020) recién corregida en la versión 1.7.1.

¿En qué consiste el ataque?

Paso

Vulnerabilidad

Resultado

1

CVE-2025-6018 — PAM allow_active

Un usuario que inicie sesión por SSH en openSUSE Leap 15 o SUSE Linux Enterprise 15 puede manipular ~/.pam_environment y engañar a polkit para obtener el rol allow_active (como si estuviera físicamente delante del equipo).

2

CVE-2025-6019 — udisks/libblockdev

Cualquier allow_active puede ejecutar acciones privilegiadas de udisks (por defecto en la mayoría de distros) y escalar a root.

3

(Opcional) CVE-2025-6020 — path traversal en pam_namespace

Otra vía para llegar a root en sistemas que usan directorios polinstanciados, solucionada en linux-pam 1.7.1.

Qualys mostró PoC en Ubuntu, Debian, Fedora y openSUSE, acortando la distancia entre un usuario autenticado y el control total del sistema.

Versiones afectadas y parches

Componente

Distribuciones expuestas

Versión corregida

PAM allow_active

openSUSE Leap 15.x, SLE 15 SP4/SP5

Parche en repositorios SUSE (pam 1.3.0-155.71 o superior)

udisks / libblockdev

udisks 2.x instalado por defecto (Ubuntu, Debian, Fedora, Arch, openSUSE…)

libblockdev 2.30 / udisks 2.10.2

pam_namespace

Cualquier distro con Linux-PAM ≤ 1.7.0 y pam_namespace activo

linux-pam 1.7.1

Impacto potencial

·         Obtención de privilegios de root a partir de cualquier cuenta local o sesión SSH.

·         Manipulación de políticas polkit, montaje de dispositivos y cambios en configuraciones de seguridad.

·         Uso del sistema comprometido como salto para implantar backdoors o pivotar lateralmente.

Recomendaciones

1.   Actualizar a los paquetes que corrigen CVE-2025-6018/6019 y a linux-pam 1.7.1.

2.   Mientras tanto, modificar la regla polkit org.freedesktop.udisks2.modify-device a auth_admin y desactivar udisksd si no es necesario.

3.   Auditar ~/.pam_environment y limitar la variable user_readenv en /etc/pam.d/common-auth.

4.   Revisar logs de polkit, auditd y udisksd en busca de llamadas inesperadas.

5.    Aplicar la política de mínimos privilegios y usar MFA en accesos SSH para mitigar ataques locales.