Investigadores de segurança descobriram duas novas vulnerabilidades de escalada de privilégios locais (LPE) que podem ser exploradas por atacantes para obter controlo total, ou privilégios de root, em sistemas que correm as principais distribuições Linux. A descoberta coloca em alerta administradores de sistemas em todo o mundo.
Uma cadeia de exploits perigosa
A primeira falha, registada como CVE-2025-6018, foi encontrada na configuração da framework Pluggable Authentication Modules (PAM) em sistemas openSUSE Leap 15 e SUSE Linux Enterprise 15. Esta vulnerabilidade permite que um atacante local consiga obter os privilégios do utilizador "allow_active".
A segunda vulnerabilidade, com o código CVE-2025-6019, foi descoberta na biblioteca libblockdev. Esta falha permite que um utilizador que já tenha conseguido o estatuto de "allow_active" possa escalar os seus privilégios para root através do daemon udisks, um serviço de gestão de armazenamento que corre por omissão na maioria das distribuições Linux.
Embora a combinação das duas falhas permita a um atacante tomar controlo total de um sistema SUSE de forma rápida e com esforço mínimo, a vulnerabilidade na libblockdev/udisks é extremamente perigosa por si só.
A falha que afeta quase todos: de Ubuntu a Fedora
A equipa da Qualys Threat Research Unit (TRU), que descobriu e reportou ambas as falhas, desenvolveu provas de conceito e conseguiu explorar com sucesso a CVE-2025-6019 para obter privilégios de root em sistemas Ubuntu, Debian, Fedora e openSUSE Leap 15.
"Apesar de, nominalmente, requerer privilégios 'allow_active', o udisks vem por omissão em quase todas as distribuições Linux, pelo que praticamente qualquer sistema está vulnerável", alertou Saeed Abbasi, gestor sénior da Qualys TRU. "Técnicas para obter 'allow_active', incluindo o problema no PAM aqui divulgado, eliminam ainda mais essa barreira. Um atacante pode encadear estas vulnerabilidades para um acesso root imediato com um esforço mínimo."
Administradores devem aplicar patches imediatamente
O acesso root permite a um atacante manipular agentes de segurança, garantir a sua persistência no sistema e mover-se lateralmente pela rede. Um único servidor sem as devidas correções pode colocar em risco toda a infraestrutura. "Corrijam tanto o PAM como a libblockdev/udisks em todo o lado para eliminar este vetor de ataque", acrescentou Abbasi.
Dada a omnipresença do udisks e a simplicidade do exploit, a recomendação é clara: as organizações devem tratar isto como um risco crítico e universal, aplicando as correções de segurança sem qualquer demora.
Nos últimos anos, os investigadores da Qualys têm sido responsáveis pela descoberta de outras vulnerabilidades graves no ecossistema Linux, incluindo as famosas falhas PwnKit (no Polkit), Looney Tunables (na glibc), Sequoia (na camada de sistema de ficheiros do Kernel) e Baron Samedit (no programa Sudo).
Nenhum comentário
Seja o primeiro!