A comunidade Linux está em alerta após a descoberta de duas vulnerabilidades críticas que, quando combinadas, permitem que um atacante local obtenha privilégios de root em distribuições populares como openSUSE, Ubuntu, Debian e Fedora.
De usuário comum a superusuário em dois passos
A primeira vulnerabilidade (CVE-2025-6018) foi encontrada no sistema de autenticação PAM do openSUSE Leap 15 e SUSE Linux Enterprise 15. Essa falha permite que um atacante local sem privilégios se faça passar por um usuário “allow_active” – normalmente reservado para quem está fisicamente diante da máquina.
Já a segunda (CVE-2025-6019) reside na biblioteca libblockdev, explorável através do serviço udisks2 que vem ativado por padrão na maioria das distribuições Linux. Esta falha transforma um usuário “allow_active” em root completo. Sozinha, já é perigosa; combinada com a primeira, torna-se catastrófica.
Como funciona o ataque?
A equipe da Qualys demonstrou como explorar essa cadeia de vulnerabilidades:
- O atacante explora a falha no PAM para elevar seus privilégios para “allow_active”;
- Utiliza então a vulnerabilidade no udisks2/libblockdev para obter acesso root;
- Com controle total do sistema, pode manipular agentes de segurança, criar backdoors e mover-se lateralmente pela rede.
Testes confirmaram a exploração bem-sucedida da falha em:
- openSUSE Leap 15
- Ubuntu
- Debian
- Fedora
Os mantenedores das principais distribuições já liberaram correções em seus respectivos canais de atualização.
Administradores de sistemas devem priorizar a aplicação dos patches fornecidos pelas distribuições. Enquanto as atualizações não são aplicadas, uma medida paliativa é modificar as políticas do polkit para exigir autenticação administrativa na ação “org.freedesktop.udisks2.modify-device”.
Especialistas alertam que a simplicidade da exploração e a ubiquidade do udisks2 tornam esta vulnerabilidade especialmente perigosa. Sistemas não corrigidos representam risco não apenas para si mesmos, mas para toda a rede onde estão conectados.
Contexto histórico
Esta não é a primeira vez que vulnerabilidades no ecossistema Linux permitem escalonamento de privilégios. Nos últimos anos, falhas como PwnKit (no Polkit), Looney Tunables (no glibc) e Sequoia (no kernel) mostraram como componentes básicos do sistema podem se tornar vetores de ataque.
O que diferencia esta descoberta é a combinação de duas vulnerabilidades aparentemente menores que, juntas, formam um caminho direto para o controle total do sistema. Em segurança da informação, até falhas que parecem inócuas isoladamente podem se tornar críticas quando combinadas.
A descoberta foi feita pela Threat Research Unit (TRU) da Qualys, que já tem histórico de identificar vulnerabilidades críticas em sistemas Linux. A equipe não apenas descobriu as falhas, mas desenvolveu provas de conceito para demonstrar a exploração e trabalhou com os mantenedores das distribuições para garantir a disponibilidade de patches antes da divulgação pública.
Fique por dentro das principais notícias da semana sobre tecnologia e Linux: assine nossa newsletter!
