Schwachstellen in Linux-Systemen entdeckt: LPE-Kette mit Root-Zugriff.
Qualys TRU (Threat Research Unit), die Forschungsabteilung von Qualys, hat zwei eng miteinander verknüpfte Schwachstellen (CVE-2025-6018 und CVE-2025-6019) entdeckt, deren Kombination es Angreifern ermöglicht, Root-Zugriff auf Linux-Systeme mit Standardkonfiguration zu erlangen.
- Die erste Schwachstelle (CVE-2025-6018) befindet sich in der PAM-Konfiguration von openSUSE Leap 15 und SUSE Linux Enterprise 15. Ein nicht privilegierter lokaler Nutzer, beispielsweise über eine SSH-Verbindung, kann diese Schwachstelle ausnutzen, um sich den Status eines “allow_active”-Nutzers zu verschaffen und anschließend polkit-Aktionen auszuführen, die normalerweise nur physisch anwesenden Nutzern vorbehalten sind.
- Die zweite Schwachstelle (CVE-2025-6019) betrifft libblockdev, lässt sich über den udisks-Daemon ausnutzen, der in den meisten Linux-Distributionen standardmäßig enthalten ist, und ermöglicht es einem “allow_active”-Nutzer, vollständige Root-Rechte zu erlangen. Während CVE-2025-6019 für sich allein genommen den vorhandenen “allow_active”-Status voraussetzt, kann durch die Kombination mit CVE-2025-6018 selbst ein vollständig unprivilegierter Angreifer Root-Zugriff erlangen.
Die Schwachstelle in libblockdev/udisks ist von besonderer Relevanz. Zwar erfordert sie nominell den Status “allow_active”, jedoch ist der udisks-Daemon auf nahezu allen Linux-Distributionen standardmäßig installiert, wodurch fast alle Systeme potenziell angreifbar sind. Techniken zur Erlangung des “allow_active”-Status, einschließlich der hier beschriebenen PAM-Schwachstelle, beseitigen diese Hürde faktisch. Ein Angreifer kann beide Schwachstellen kombinieren und mit minimalem Aufwand Root-Zugriff erlangen. Aufgrund der weiten Verbreitung von udisks und der einfachen Ausnutzbarkeit dieser Angriffskette sollten Unternehmen diese Bedrohung als kritisch und universell einstufen und die verfügbaren Sicherheitsupdates umgehend einspielen.
Die Qualys Threat Research Unit (TRU) hat Proof-of-Concept-Exploits entwickelt, um diese Schwachstellen auf verschiedenen Betriebssystemen zu validieren. Dabei konnte die libblockdev/udisks-Schwachstelle erfolgreich auf Ubuntu, Debian, Fedora und openSUSE Leap 15 ausgenutzt werden.
Funktionsweise von PAM und udisks/libblockdev
- PAM-Konfiguration in openSUSE/SLE 15: Das Pluggable Authentication Modules (PAM) Framework steuert, wie sich Nutzer auf Linux-Systemen authentifizieren und Sitzungen starten. In openSUSE/SLE 15 ist der PAM-Stack so konfiguriert, dass er bestimmt, welche Nutzer als “aktiv” gelten — also physisch am System anwesend — und damit bestimmte privilegierte Aktionen ausführen dürfen. Eine Fehlkonfiguration kann dazu führen, dass jede lokale Anmeldung, einschließlich über SSH, so behandelt wird, als säße der Nutzer direkt an der Konsole. Dieser “allow_active”-Status erlaubt normalerweise Zugriff auf bestimmte polkit-Operationen, die physisch anwesenden Nutzern vorbehalten sind. Wird dieser Mechanismus falsch angewendet, können nicht privilegierte Nutzer Aktionen ausführen, die ihnen eigentlich nicht gestattet sein sollten.
- udisks-Daemon und libblockdev: Der udisks-Dienst läuft standardmäßig auf den meisten Linux-Systemen und bietet über D-Bus eine Schnittstelle zur Speicherverwaltung — darunter das Mounten, Abfragen und Formatieren von Datenträgern. Intern greift udisks auf libblockdev zu, eine Bibliothek zur Verarbeitung von Blockgeräteoperationen auf niedriger Ebene. Eine über udisks erreichbare Schwachstelle in libblockdev ermöglicht es jedem Nutzer mit “allow_active”-Status, direkt Root-Rechte zu erlangen. Da udisks so weit verbreitet ist, ist das Verständnis seiner Funktion und der Abhängigkeit von libblockdev entscheidend. udisks fungiert dabei als Bindeglied zwischen den Sitzungsrechten eines Nutzers und den Verwaltungsfunktionen für Geräte. Eine Schwachstelle an dieser Stelle kann vollständige Systemkontrolle ermöglichen.
Mögliche Auswirkungen der Schwachstellen
Diese modernen “local-to-root”-Exploits überbrücken die Lücke zwischen einem gewöhnlichen eingeloggten Nutzer und einer vollständigen Systemübernahme. Durch das Verketten legitimer Dienste wie udisks-Loop-Mounts und Besonderheiten in der PAM- und Umgebungs-Konfiguration können Angreifer mit einer aktiven GUI- oder SSH-Sitzung die Vertrauensgrenze von polkit (“allow_active”) überwinden und sich innerhalb von Sekunden Root-Rechte verschaffen. Dafür sind keine exotischen Fähigkeiten notwendig, denn alle verwendeten Komponenten sind in gängigen Linux-Distributionen und deren Server-Varianten vorinstalliert.
Root-Zugriff stellt die schwerwiegendste Art von Schwachstelle dar. Ein Angreifer kann damit unbemerkt EDR-Agenten deaktivieren, Kernel-Backdoors für persistente Codeausführung installieren oder Systemkonfigurationen manipulieren, die Neustarts überdauern. Solche kompromittierten Server können als Ausgangspunkt für laterale Bewegungen im Netzwerk dienen. Exploits, die auf standardmäßig installierte Serverpakete abzielen, können sich von einem einzelnen kompromittierten System auf ganze Flotten ausbreiten. Um dieses Risiko zu verringern, sollten systemweit Updates eingespielt und Sicherheitsmaßnahmen wie polkit-Regeln und Loop-Mount-Policies verschärft werden. Diese breit angelegte Strategie hilft, eine erste Kompromittierung einzudämmen und das gesamte Netzwerk zu schützen.
Absicherung gegen die libblockdev/udisks-Schwachstelle
Die Standard-Polkit-Richtlinie für die Aktion “org.freedesktop.udisks2.modify-device” erlaubt es möglicherweise jedem aktiven Nutzer, Geräte zu verändern. Diese Konfiguration kann ausgenutzt werden, um Sicherheitsmechanismen zu umgehen. Um dies zu verhindern, sollte die Richtlinie so angepasst werden, dass für diese Aktion eine Authentifizierung durch einen Administrator erforderlich ist.
Zur Minderung dieser Schwachstelle sollte die Polkit-Regel für “org.freedesktop.udisks2.modify-device” angepasst werden. Der Wert für “allow_active” sollte von “yes” auf “auth_admin” geändert werden. Darüber hinaus sollten stets verfügbare Sicherheitsupdates priorisiert und die konkreten Empfehlungen der jeweiligen Linux-Distribution beachtet werden.
Fazit
Durch die Kombination von CVE-2025-6018 und CVE-2025-6019 kann sich ein SSH-Nutzer auf SUSE 15/Leap 15 mit Standardkonfiguration von einem normalen Nutzer in einen Root-Nutzer verwandeln. Eine Schwachstelle verschafft den “allow_active”-Status, die andere nutzt diesen Status aus, um vollständige Root-Rechte zu erlangen — und zwar mit vorinstallierten Komponenten. Root-Zugriff erlaubt es, Sicherheitsagenten zu manipulieren, Persistenz herzustellen und sich lateral im Netzwerk zu bewegen. Ein ungepatchter Server kann somit ein Risiko für eine gesamte Infrastruktur darstellen. Sowohl PAM als auch libblockdev/udisks sollten daher auf allen Systemen umgehend aktualisiert werden.
Die technischen Details zu den Schwachstellen.
