Qualys: carenze che consentono l'elevazione dei privilegi locali
In una recente scoperta, l'Unità di Ricerca sulla Minaccia Qualys ha individuato due vulnerabilità di escalation dei privilegi locali - CVE-2025-6018 e CVE-2025-6019 - che rappresentano un rischio significativo per i sistemi Linux. Queste vulnerabilità, presenti in Debian, Ubuntu, Fedora, CentOS e SUSE Linux Enterprise 15, tra gli altri, potrebbero consentire a un attaccante non privilegiato di accedere completamente come utente root ai sistemi interessati.
La prima vulnerabilità, CVE-2025-6018, si trova nella configurazione PAM di openSUSE Leap 15 e SUSE Linux Enterprise 15. Questa falla consente a un attaccante locale non privilegiato di elevarsi all'utente "allow_active" e invocare azioni polkit, il che potrebbe portare a un'escalation dei privilegi.
La seconda vulnerabilità, CVE-2025-6019, riguarda libblockdev e, quando sfruttata tramite il demone udisks, consente a un utente "allow_active" di acquisire i privilegi di root completi.
Queste vulnerabilità sono particolarmente preoccupanti perché possono essere concatenate. Combinando CVE-2025-6018 con CVE-2025-6019, un attaccante puramente non privilegiato potrebbe ottenere l'accesso completo da root.
Il servizio udisks, che viene eseguito di default su la maggior parte dei sistemi Linux, offre un'interfaccia D-Bus per la gestione dei dispositivi di archiviazione e chiama libblockdev per le operazioni a basso livello sui dispositivi di blocco. La politica polkit predefinita per l'azione "org.freedesktop.udisks2.modify-device" potrebbe consentire a qualsiasi utente attivo di modificare i dispositivi, il che può essere sfruttato per bypassare le restrizioni di sicurezza.
Una falla in libblockdev, raggiungibile tramite udisks, consente inoltre a qualsiasi utente già nel contesto "allow_active" di escalare direttamente a root. Questa catena di vulnerabilità, quando presente, consente a un utente SSH su SUSE 15/Leap 15 di escalare da "normale" a root con PAM e udisks predefiniti installati.
Per mitigare questi rischi, è consigliabile prioritizzare i correttivi e seguire le istruzioni specifiche del fornitore della distribuzione Linux. È necessario applicare i correttivi sia a PAM che a libblockdev/udisks per eliminare la catena di vulnerabilità. Inoltre, modificare la politica per richiedere l'autenticazione dell'amministratore per questa azione può fornire un'ulteriore层 di sicurezza.
Qualys ha sviluppato exploit proof-of-concept per queste vulnerabilità, che hanno avuto successo nel colpire la falla libblockdev/udisks su Ubuntu, Debian, Fedora e openSUSE Leap 15. I dettagli tecnici di queste vulnerabilità e i link ai correttivi possono essere trovati sul sito web di Qualys.
Le organizzazioni devono considerare questo un rischio critico e universale e applicare i correttivi senza indugio. L'accesso a root consente la manipolazione dell'agente, la persistenza e il movimento laterale, quindi un server non
Leggi anche:
- "Il governatore Hochul sostiene che le aziende di New York hanno inviato illegalmente prodotti per lo svapo, con particolare attenzione ai bambini"
- Esplorare il nesso: Le infanzie traumatiche alimentano gli antagonisti cinematografici?
- Esplorazione dei regolamenti relativi alle scommesse e al mantenimento del fair play nella scena sportiva contemporanea
- Info: Imminente uscita di EA SPORTS FC 26 con un'espansione delle squadre e delle leghe di calcio disponibili
