/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2025/06/acquisizione-privilegi-root-linux.jpg "Root compromesso su Linux: nuove vulnerabilità colpiscono PAM e udisks")
Due nuove vulnerabilità di escalation locale dei privilegi (Local Privilege Escalation, LPE), scoperte dalla Threat Research Unit di Qualys, minacciano direttamente la sicurezza dei sistemi basati su Linux. Le falle, classificate come CVE-2025-6018 e CVE-2025-6019, permettono a un attaccante locale di ottenere privilegi root tramite una catena di exploit, compromettendo completamente il sistema bersaglio.
Il team di ricerca ha sviluppato un exploit proof-of-concept e dimostrato con successo l’elevazione dei privilegi su Ubuntu, Debian, Fedora e openSUSE Leap 15. La catena di attacco è diretta e a basso costo computazionale, rendendo possibile l’attacco in pochi passaggi.
CVE-2025-6018 – Debolezze nella configurazione PAM su SUSE
Il primo difetto risiede nella configurazione del framework PAM (Pluggable Authentication Modules) in openSUSE Leap 15 e SUSE Linux Enterprise 15.
La vulnerabilità in questione consente a un utente locale di acquisire privilegi elevati, spingendosi fino a quelli dell’utente speciale denominato allow_active, bypassando le normali politiche di autenticazione.
CVE-2025-6019 – Escalation tramite udisks e libblockdev
Il secondo bug coinvolge libblockdev, una libreria usata per la gestione dei block device e l’interazione con il daemon udisks, presente per impostazione predefinita in quasi tutte le distribuzioni Linux.
Con block device si fa riferimento ai dispositivi di archiviazione, come hard disk (HDD), SSD, chiavette USB o dischi virtuali, che leggono e scrivono in blocchi di byte di dimensione fissa (per esempio 512 B, 4 KB).
Un utente allow_active può sfruttare questa falla per ottenere i privilegi di root. Secondo Qualys la presenza ubiquitaria di udisks, unita alla facilità dell’exploit, rende questa vulnerabilità critica per l’intero ecosistema Linux.
D’altra parte, come aggiungono i ricercatori di Qualys, udisks è abilitato di default nella maggior parte delle distribuzioni, rendendo quasi ogni sistema vulnerabile. E l’exploit PAM semplifica ulteriormente le modalità di aggressione.
Rischi estesi su Linux: persistenza e movimento laterale
Ottenere l’accesso root su un server equivale ad avere pieno controllo sul sistema, aprendo la strada a manomissioni, all’installazione di backdoor persistenti e a movimenti laterali nella rete aziendale. Un solo server non aggiornato può quindi essere sfruttato come leva per compromettere l’intera infrastruttura.
Qualys ha fornito dettagli tecnici approfonditi e collegamenti alle patch tramite un post tecnico su Openwall. Gli amministratori di sistema sono fortemente invitati a correggere immediatamente sia le configurazioni PAM che i pacchetti libblockdev/udisks, specialmente nelle distribuzioni che li installano per default.
Questa nuova catena di exploit si aggiunge a un elenco crescente di vulnerabilità critiche scoperte da Qualys, negli ultimi anni, all’interno dei componenti chiave del sistema Linux. Il pinguino è storicamente considerato quasi inattaccabile. In realtà, l’assenza delle correzioni di sicurezza per le vulnerabilità via via scoperte potrebbe mostrare il fianco a un ampio ventaglio di tentativi di aggressione, in locale così come da remoto.
/https://www.ilsoftware.it/app/uploads/2025/06/gendbuntu-linux.jpg "GendBuntu: come la Gendarmeria francese ha risparmiato 50 milioni passando 100mila PC su Linux")
/https://www.ilsoftware.it/app/uploads/2025/06/ubuntu-migrazione-x11-xorg-wayland.jpg "Addio a X11: Ubuntu 25.10 dice basta a Xorg. Ecco cosa cambia davvero per gli utenti!")
/https://www.ilsoftware.it/app/uploads/2025/06/kaligpt.jpg "KaliGPT: l'assistente AI che cambia le regole dell'Hacking Etico")
/https://www.ilsoftware.it/app/uploads/2025/06/container-linux-macos.jpg "Container Linux su macOS con Apple Containerization")