Vulnerabilidad CVE-2025-6019
Los atacantes ahora pueden explotar dos vulnerabilidades de escalada de privilegios locales (LPE) recién descubiertas para obtener acceso root completo en sistemas con distribuciones de Linux populares. Si no se corrigen, estas fallas representan un grave riesgo para los entornos empresariales.
Tabla de contenido
CVE-2025-6018: La configuración incorrecta de PAM abre la puerta
La primera vulnerabilidad, identificada como CVE-2025-6018, reside en la configuración del marco de módulos de autenticación conectables (PAM). Afecta a openSUSE Leap 15 y SUSE Linux Enterprise 15. Esta falla permite a los atacantes locales escalar sus privilegios a los del usuario especial "allow_active", un paso esencial para una vulneración de la raíz.
CVE-2025-6019: libblockdev + Udisks equivale a raíz completa
La segunda falla, CVE-2025-6019, se encuentra en libblockdev y afecta al demonio udisks, un servicio de gestión de almacenamiento que se ejecuta por defecto en la mayoría de los sistemas Linux. Esta vulnerabilidad permite que un usuario "allow_active" eleve privilegios directamente a root. Dado que udisks está ampliamente implementado y activo por defecto, prácticamente cualquier sistema Linux está en riesgo.
Cadena de explotación: del acceso local a la raíz en segundos
Los atacantes pueden combinar estas dos vulnerabilidades en una explotación en cadena de tipo "local a raíz". Primero, aprovechan la falla PAM para obtener el estado "allow_active" y luego aprovechan la falla udisks para obtener acceso root completo. Esta combinación reduce significativamente la probabilidad de vulneración, lo que permite tomar el control de los sistemas SUSE casi al instante.
Riesgo entre distribuciones: no es solo un problema de SUSE
Aunque se descubrió en sistemas SUSE, los investigadores demostraron que CVE-2025-6019 también afecta a otras distribuciones importantes, como Ubuntu, Debian y Fedora. Mediante exploits de prueba de concepto (PoC), escalaron con éxito hasta obtener privilegios de root en estas plataformas, lo que confirma la amplia aplicabilidad del ataque.
Acceso raíz: una puerta de entrada a amenazas más profundas
Obtener privilegios de root es el peor escenario posible: permite la manipulación de agentes, mecanismos de persistencia y el movimiento lateral entre redes. Una máquina sin parchear podría poner en peligro la seguridad de todo un parque de servidores.
Actúe rápido: el riesgo universal exige una solución inmediata
Dada la ubicuidad de los udisks y la facilidad con la que funciona la cadena de exploits, las organizaciones deben tratar esto como una vulnerabilidad crítica. La aplicación inmediata de parches tanto a la configuración de PAM como a la falla libblockdev/udisks es esencial para eliminar esta vía de acceso raíz.
Un patrón de amenazas persistentes para Linux
Estas fallas de LPE forman parte de una tendencia creciente en las amenazas a la seguridad de Linux. Otras vulnerabilidades recientes de alto perfil incluyen:
- PwnKit (pkexec de Polkit)
- Looney Tunables (ld.so de glibc)
- Sequoia (capa del sistema de archivos del núcleo)
- Baron Samedit (escalada de privilegios de Sudo)
En el caso de Looney Tunables, el código PoC se publicó poco después de su divulgación. En menos de un mes, surgieron ataques reales que utilizaban el malware Kinsing para robar credenciales de proveedores de servicios en la nube (CSP).
Conclusión: Proteja su infraestructura Linux ahora
El descubrimiento de CVE-2025-6018 y CVE-2025-6019 refuerza la urgente necesidad de una gestión continua de parches y una monitorización proactiva. Estas vulnerabilidades representan un riesgo crítico de distribución cruzada y deben abordarse de inmediato para evitar su vulnerabilidad a nivel raíz.
