Falhas em PAM e Udisks permitem escalonamento de privilégio em múltiplas distribuições Linux

Três falhas graves de segurança foram recentemente identificadas no ecossistema Linux, permitindo que hackers locais obtenham acesso root completo em sistemas amplamente utilizados, como Ubuntu, Fedora, Debian, openSUSE e SUSE Linux Enterprise.

As vulnerabilidades, descobertas por pesquisadores da Qualys Threat Research Unit (TRU), exploram serviços legítimos e configurações padrão do sistema para escalar privilégios de forma quase invisível.

Duas dessas falhas, registradas sob os códigos CVE-2025-6018 e CVE-2025-6019, envolvem uma exploração em cadeia entre os Módulos de Autenticação Plugáveis (PAM) e o daemon udisks, responsável pelo gerenciamento de dispositivos de armazenamento.

De acordo com Saeed Abbasi, gerente sênior da Qualys TRU, “essas explorações modernas reduziram drasticamente a distância entre um usuário comum e o controle total do sistema”. Um invasor com acesso a uma sessão gráfica ativa ou via SSH pode utilizar o comportamento de confiança do polkit — especificamente o nível allow_active — para obter privilégios administrativos em questão de segundos.

A falha CVE-2025-6018 afeta diretamente as configurações PAM do openSUSE Leap 15 e SUSE Linux Enterprise 15, permitindo que usuários locais sem privilégios ganhem permissões allow_active e executem ações sensíveis via polkit. Já a CVE-2025-6019 se aproveita da integração do libblockdev com o udisks para escalar de allow_active para root.

Por padrão, o udisks está presente em quase todas as distribuições Linux, tornando a ameaça generalizada. A Qualys confirmou que é possível encadear essas vulnerabilidades, o que torna o ataque ainda mais eficiente e perigoso.

Além dessas, os mantenedores do Linux PAM divulgaram a correção de uma terceira falha, CVE-2025-6020, classificada como de alta gravidade (CVSS 7.8), que permite elevação de privilégios por meio de travessia de caminho, links simbólicos e condições de corrida.

Essa vulnerabilidade afeta o módulo pam_namespace, usado para configurar diretórios poliinstanciados, quando operando sobre caminhos controlados por usuários locais. A falha foi inicialmente relatada à equipe do Linux PAM por Olivier Bal-Petre, da agência francesa ANSSI.

A recomendação urgente é que administradores de sistemas Linux apliquem os patches de segurança disponibilizados pelos fornecedores das distribuições afetadas. Como mitigação temporária, é possível alterar as regras do polkit relacionadas à modificação de dispositivos via udisks para exigir autenticação explícita de administrador. Também é aconselhado desabilitar ou restringir o uso do pam_namespace em caminhos sob controle do usuário.

Via - THN