Novas falhas no Linux permitem privilégios

Novas falhas no Linux permitem escalada de privilégios até root via PAM e Udisks

Pesquisadores da Qualys revelaram recentemente duas vulnerabilidades críticas de escalonamento local de privilégios (LPE) que afetam amplamente distribuições Linux populares, permitindo que atacantes obtenham acesso root total em segundos. As falhas, quando exploradas em conjunto, representam uma ameaça grave para a segurança de sistemas Linux em ambientes corporativos e pessoais.

 

As Vulnerabilidades identificadas

As falhas receberam os seguintes identificadores:

  • CVE-2025-6018 – Escalada de privilégios de um usuário comum para allow_active no módulo PAM (Pluggable Authentication Modules) em distribuições SUSE Linux Enterprise 15 e openSUSE Leap 15.

  • CVE-2025-6019 – Escalada de privilégios de allow_active para root via o daemon udisks, utilizando falhas no componente libblockdev, presente por padrão na maioria das distribuições Linux.

 

Segundo Saeed Abbasi, gerente sênior da Qualys Threat Research Unit (TRU):“Esses modernos ataques ‘local-to-root’ colapsaram a barreira entre um usuário comum autenticado e o controle total do sistema. Explorando serviços legítimos como os loop-mounts do udisks e inconsistências do ambiente PAM, um invasor com sessão ativa GUI ou SSH pode se tornar root em segundos.”

 

Como o ataque funciona

O ataque é realizado em duas etapas encadeadas:

  • CVE-2025-6018: permite que um atacante local, não privilegiado, assuma a identidade allow_active, que é normalmente associada a usuários fisicamente presentes ou com sessões gráficas ativas.

  • CVE-2025-6019: permite que esse usuário allow_active invoque ações privilegiadas do daemon udisks, como montar dispositivos e, a partir daí, escalonar para root, utilizando permissões herdadas via polkit.

 

Como o udisks está presente por padrão em quase todas as distribuições modernas, a cadeia de ataque afeta sistemas como Ubuntu, Debian, Fedora e openSUSE Leap 15.

 

Acesso root e impactos

Após obter acesso como root, o atacante pode:

  • Modificar configurações de segurança do sistema;

  • Instalar backdoors persistentes;

  • Esconder sua presença por meio de rootkits;

  • Usar a máquina como ponto de pivotamento para comprometer outros ativos da rede.

 

A Qualys desenvolveu provas de conceito (PoC) confirmando a exploração bem-sucedida dessas falhas nas principais distribuições.

 

Mitigação e Correções

Atualizações oficiais e soluções temporárias

  • SUSE: Já liberou patches para ambas as falhas2.

  • Ubuntu/Debian/Fedora: Verifique atualizações de segurança via:

     
    sudo apt update && sudo apt upgrade   # Debian/Ubuntu  
sudo dnf update                      # Fedora/RHEL

  • Modificar regras do Polkit para exigir autenticação administrativa:

     
    sudo nano /etc/polkit-1/rules.d/50-udisks.rules

    Adicione:

     
    polkit.addRule(function(action, subject) {
    if (action.id == "org.freedesktop.udisks2.modify-device") {
        return polkit.Result.AUTH_ADMIN;
    }
});

  • Desativar pam_namespace (se não for essencial).

 

Monitoramento recomendado

  • Auditar montagens suspeitas em /tmp

  • Restringir ações do Polkit para usuários “allow_active”.

  • Monitorar sessões de SSH e GUI ativas que possam estar vulneráveis à elevação de privilégios.

 

Terceira falha descoberta no PAM: CVE-2025-6020

Além das falhas acima, foi revelada também uma vulnerabilidade crítica de path traversal no módulo pam_namespace do Linux PAM:

  • CVE-2025-6020 – permite a elevação de privilégios a partir de caminhos controlados pelo usuário, via ataques com symlinks e condições de corrida (race conditions).

  • Pontuação CVSS: 7.8 (Alta)

  • Afeta versões do PAM até 1.7.0

 

Segundo o mantenedor Dmitry V. Levin:“O pam_namespace acessava caminhos controlados por usuários sem as devidas proteções, o que permitia elevação de privilégios por meio de múltiplos vetores.”

 

Mitigações para CVE-2025-6020:

  • Atualizar o Linux-PAM para a versão 1.7.1 ou superior

  • Desativar pam_namespace se não for necessário

  • Certificar-se de que nenhum diretório polinstanciado está em um caminho sob controle do usuário

  • Atualizar o script namespace.init, caso esteja utilizando uma versão personalizada

 

Conclusão

Essas falhas ressaltam a importância crítica da segurança em camadas no Linux. Embora o modelo de permissões do sistema operacional seja robusto, a combinação de pequenas permissões e serviços padrão mal configurados pode criar vetores perigosos para escalada de privilégios.

Administradores de sistemas Linux devem aplicar imediatamente as atualizações disponíveis e rever configurações de segurança relacionadas a PAM, Polkit e serviços como udisks.

Resumindo essas vulnerabilidades representam uma ameaça crítica devido à facilidade de exploração e à ubiquidade dos componentes afetados. Organizações devem:

  • Aplicar patches imediatamente
  • Revisar políticas de autenticação PAM e Polkit
  • Monitorar atividades suspeitas em sistemas Linux.

 

Fonte e imagens: https://thehackernews.com/2025/06/new-linux-flaws-enable-full-root-access.html