Nel cuore dell’ecosistema Linux si sta aprendo una nuova crepa che mina le fondamenta della sicurezza locale: due vulnerabilità appena scoperte consentono a un aggressore di ottenere accesso root completo attraverso un’escalation di privilegi in due fasi sui tool PAM e udisks. Si tratta delle falle CVE-2025-6018 e CVE-2025-6019; individuate dalla Threat Research Unit di Qualys, che interessano una vasta gamma di distribuzioni Linux, incluse openSUSE Leap 15, SUSE Linux Enterprise 15, Ubuntu, Debian e Fedora. Entrambe le vulnerabilità sono state confermate da più fonti indipendenti.
Il punto chiave è che le due vulnerabilità non agiscono isolatamente; si completano a vicenda. Una permette a un utente locale di acquisire privilegi allow_active, mentre l’altra sfrutta questi privilegi per raggiungere direttamente il livello root, il tutto con strumenti e configurazioni preinstallati su quasi tutte le principali distribuzioni. La semplicità dell’exploit combinato e la diffusione dei componenti coinvolti rendono il problema urgente.
La prima falla: PAM e il contesto allow_active
Il primo anello della catena di attacco è rappresentato da CVE-2025-6018; colpisce la configurazione del sistema PAM (Pluggable Authentication Modules) nelle distribuzioni SUSE. In particolare, l’errore consiste in una definizione troppo permissiva dei criteri di autenticazione; qualsiasi sessione locale, anche da remoto via SSH, viene trattata come se fosse fisicamente presente alla console. Questo comportamento sblocca un insieme di operazioni che normalmente sarebbero riservate solo a chi si trova davanti al terminale fisico della macchina.
L’assegnazione impropria dello stato allow_active consente di interagire con polkit; un servizio che regola l’accesso ad azioni sensibili a livello di sistema. In condizioni normali, queste operazioni necessitano di interazione fisica o autorizzazioni elevate. Con questa vulnerabilità attiva, invece, l’aggressore può avviare operazioni che sembrano legittime dal punto di vista del sistema; pur non avendo realmente tali privilegi.
Il valore critico di questa falla sta proprio nella falsa percezione di presenza fisica: è come se un utente remoto potesse ingannare il sistema facendogli credere di essere davanti al monitor. Da qui, il passo verso un’escalation completa è più breve del previsto.
Il secondo anello: libblockdev e udisks
Se CVE-2025-6018 è la porta d’ingresso, CVE-2025-6019 è la chiave che apre il caveau. Questa seconda vulnerabilità risiede nella libreria libblockdev, accessibile tramite il daemon udisks, uno strumento per la gestione dei dispositivi di archiviazione che è installato di default su quasi tutte le distribuzioni Linux.
In particolare, udisks fornisce un’interfaccia D-Bus per operazioni come montaggio, formattazione e interrogazione dei dispositivi. Sotto il cofano, si appoggia proprio a libblockdev per eseguire le operazioni più delicate. Se l’attaccante dispone dei privilegi allow_active, può interagire con udisks in modo da eseguire comandi che normalmente richiederebbero accesso root.
Questa falla sfrutta quindi la combinazione tra accesso logico e potere esecutivo; da un lato si ottiene il permesso di agire come un utente “presente”, dall’altro si sfrutta la fiducia che udisks ripone in quella presenza. Il risultato è un’escalation di privilegi silenziosa ma devastante; consente di spegnere agenti di sicurezza, impiantare backdoor e modificare configurazioni persistenti.
Impatti sulla sicurezza e rischi di compromissione
Una volta ottenuti i privilegi root, non ci sono più barriere. L’aggressore può eseguire qualsiasi comando; installare malware a livello kernel, disattivare strumenti di monitoraggio come EDR e persino creare utenti nascosti per accessi futuri. Questo tipo di compromissione non è solo grave: è sistemica.
Un singolo server vulnerabile può diventare il punto di ingresso per attacchi laterali all’interno di un’intera rete aziendale. I movimenti laterali permettono all’aggressore di spostarsi su altre macchine, sfruttando il controllo completo sul sistema compromesso. Inoltre, la natura “locale” dell’exploit non impedisce che venga utilizzato in attacchi remoti, ad esempio in combinazione con un accesso via SSH.
Ciò che preoccupa è anche la facilità di esecuzione: tutto si basa su componenti standard installati per default. Questo significa che molti sistemi sono già esposti, anche se non ancora compromessi. E poiché l’exploit è disponibile come PoC pubblico, è solo questione di tempo prima che venga integrato in toolkit automatici.
Misure correttive e raccomandazioni urgenti
Di fronte a vulnerabilità con impatto così ampio, l’unica strategia efficace è la mitigazione tempestiva. I manutentori delle principali distribuzioni hanno già rilasciato aggiornamenti per patchare sia la configurazione PAM che le librerie libblockdev collegate a udisks. Applicare questi aggiornamenti deve essere una priorità assoluta.
Oltre alla patch, è consigliabile rafforzare le regole polkit: ad esempio, modificare la policy associata all’azione org.freedesktop.udisks2.modify-device per richiedere l’autenticazione di un amministratore. Anche rivedere le impostazioni di accesso remoto e disabilitare funzionalità inutilizzate può ridurre la superficie d’attacco.
Un’ulteriore misura preventiva è l’utilizzo di strumenti di monitoraggio comportamentale che rilevino escalation anomale. Ma attenzione: una volta ottenuto l’accesso root, anche questi sistemi possono essere disattivati. Quindi è importante la prevenzione.
PAM e udisks : conclusione
Il caso delle vulnerabilità CVE-2025-6018 e CVE-2025-6019 è emblematico di come la sicurezza dei sistemi Linux non sia mai garantita per impostazione predefinita. Le configurazioni di default, pensate per la comodità e la compatibilità, spesso introducono vie traverse che possono essere sfruttate da attori malevoli con estrema facilità.
L’elemento più inquietante non è solo la gravità della falla, ma la normalità dell’infrastruttura coinvolta: PAM, udisks e libblockdev sono presenti ovunque. La catena di exploit descritta non ha bisogno di inganni sofisticati, ma solo di una concatenazione logica di eventi in un contesto permissivo.
