Rischio di root in agguato nei sistemi Linux: vulnerabilità CVE-2025-6019
Table of Contents
Comprendere la vulnerabilità
CVE-2025-6019 è una vulnerabilità di escalation dei privilegi locali (LPE) che rappresenta una minaccia significativa per i sistemi Linux . Scoperta dai ricercatori di Qualys, questa falla risiede in libblockdev e può essere sfruttata tramite il demone udisks , un componente presente di default nella maggior parte delle distribuzioni Linux. Se concatenata a un'altra vulnerabilità rilevata, CVE-2025-6018, può consentire a un utente loggato di ottenere l'accesso root in pochi secondi.
In sostanza, la vulnerabilità CVE-2025-6019 riguarda i limiti di fiducia, in particolare il modo in cui un utente apparentemente innocuo con privilegi "allow_active" può aggirare le normali protezioni di sistema e ottenere un controllo illimitato sul sistema operativo. Ciò solleva seri problemi di sicurezza, in particolare per gli ambienti Linux multiutente.
Da ordinario a onnipotente
Ciò che rende CVE-2025-6019 particolarmente pericolosa è la sua dipendenza da CVE-2025-6018, una vulnerabilità nella configurazione dei Pluggable Authentication Modules (PAM) nelle distribuzioni SUSE Linux. Questa vulnerabilità precedente permetteva a un utente locale senza privilegi di elevarsi allo stato "allow_active", un livello di accesso tipicamente concesso agli utenti fisicamente presenti o autenticati tramite GUI o sessioni SSH.
Una volta raggiunto questo livello di accesso intermedio, CVE-2025-6019 può essere sfruttato per ottenere privilegi di root completi utilizzando il servizio udisks . Secondo Qualys, questa catena di vulnerabilità elimina di fatto la tradizionale separazione tra utente normale e amministratore di sistema, un cambiamento preoccupante nel panorama della sicurezza Linux.
L'impatto nel mondo reale
L'accesso root è il Santo Graal per qualsiasi aggressore. Con esso, è possibile modificare le policy di sicurezza, accedere ed esfiltrare dati sensibili, installare backdoor persistenti e manipolare il sistema a piacimento. In ambienti come workstation condivise, macchine virtuali ospitate nel cloud o server basati su Linux, un aggressore che sfrutta queste falle potrebbe compromettere non solo un sistema, ma potenzialmente un'intera rete o infrastruttura.
Non si tratta di un problema teorico. Qualys ha già sviluppato exploit proof-of-concept (PoC) che confermano che la vulnerabilità interessa diverse distribuzioni Linux diffuse, tra cui Ubuntu, Debian, Fedora e openSUSE. La diffusione del componente udisks implica che molti sistemi potrebbero essere esposti inconsapevolmente.
Cosa c'è dietro il sipario: Udisks e Libblockdev
Udisks è un servizio che fornisce interfacce per la gestione dei dispositivi di archiviazione. Sebbene sia progettato per migliorare l'usabilità e l'automazione, introduce anche nuove superfici di attacco, soprattutto quando interagisce con autorizzazioni utente e policy come allow_active . Libblockdev, la libreria alla base di molte di queste operazioni sui dischi, è il cuore della vulnerabilità CVE-2025-6019. Fornisce un accesso di basso livello alle funzionalità dei dispositivi a blocchi e, in questo caso, non riesce a limitare adeguatamente le operazioni per gli utenti con privilegi insufficienti.
Questa svista diventa critica se combinata con le peculiarità di PAM e i presupposti di attendibilità di Polkit. Le vulnerabilità sfruttano le zone grigie in cui servizi come gli udisk si fidano degli utenti contrassegnati come "attivi", dando per scontato che siano sicuri – un presupposto che, come dimostra la CVE-2025-6018, può essere manipolato.
Misure di mitigazione e risposta del fornitore
La buona notizia è che i produttori Linux stanno già rispondendo. Le patch vengono rilasciate e gli amministratori di sistema sono caldamente invitati ad applicarle non appena disponibili. Nel frattempo, esistono alcune soluzioni pratiche. Ad esempio, gli amministratori possono modificare la regola Polkit per org.freedesktop.udisks2.modify-device in modo da richiedere l'autenticazione completa dell'amministratore (auth_admin), anziché affidarsi all'impostazione allow_active, più permissiva.
Queste misure possono prevenire la catena di sfruttamento, anche se le vulnerabilità sottostanti sono ancora presenti. Tuttavia, si tratta di soluzioni temporanee e non devono essere considerate sostitutive di adeguati aggiornamenti di sistema.
Più di un difetto
La divulgazione di CVE-2025-6019 si aggiunge ad altre recenti problematiche di sicurezza Linux, come CVE-2025-6020, un problema di attraversamento del percorso di elevata gravità nel modulo pam_namespace. Sebbene non direttamente correlato, sottolinea la sfida più ampia di proteggere i confini dei privilegi locali in Linux. Questo tipo di problemi, sebbene non remotamente sfruttabili, sono particolarmente pericolosi quando è già stato stabilito un punto d'appoggio locale, sia da parte di un insider, di un account utente compromesso o tramite phishing.
Guardando avanti
CVE-2025-6019 ci ricorda che anche componenti affidabili e ampiamente utilizzati possono trasformarsi in punti di vulnerabilità quando le ipotesi sull'affidabilità e l'accesso degli utenti non vengono convalidate attentamente. Poiché Linux continua a supportare tutto, dai dispositivi personali alle infrastrutture aziendali e agli ambienti cloud, la vigilanza nella gestione delle patch e nelle policy di controllo degli accessi è più essenziale che mai.
Amministratori di sistema, sviluppatori e professionisti della sicurezza dovrebbero considerare queste scoperte come un invito all'azione: non solo per applicare patch, ma anche per ripensare il modo in cui le autorizzazioni degli utenti locali vengono strutturate e applicate. In un mondo in cui il passaggio da locale a root può avvenire in pochi istanti, la difesa a più livelli e la manutenzione proattiva rimangono la migliore linea di protezione.
