Qualys TRU identifiziert LPE-Kette mit Root-Zugriff Kritische Schwächen bringen Linux-Systeme in Gefahr

Die Qualys Threat Research Unit deckt zwei verknüpfte Linux-Schwachstellen auf. Ausgehend von „Suse 15“ führt die LPE-Kette bei Standardkonfigurationen vieler Linux-Distributionen direkt zu Root-Zugriff.

Qualys TRU deckt zwei verknüpfte Schwachstellen auf: CVE-2025-6018 und CVE-2025-6019. Deren Kombination ermöglicht es Angreifern, Root-Zugriff auf Linux-Systeme mit Standardkonfiguration zu erlangen.

Die erste Schwachstelle CVE-2025-6018 befindet sich in der PAM-Konfiguration von „Opensuse Leap 15“ und „Suse Linux Enterprise 15“. Ein nicht privilegierter lokaler Nutzer, beispielsweise über eine SSH-Verbindung, kann diese Schwachstelle ausnutzen, um sich den Status eines “allow_active”-Nutzers zu verschaffen und anschließend 'polkit'-Aktionen auszuführen, die normalerweise nur physisch anwesenden Nutzern vorbehalten sind. Die zweite Schwachstelle CVE-2025-6019 betrifft „libblockdev“ und lässt sich über den „udisks“-Daemon ausnutzen, der in den meisten Linux-Distributionen standardmäßig enthalten ist, und ermöglicht es einem “allow_active”-Nutzer, vollständige Root-Rechte zu erlangen.

Die Schwachstelle in libblockdev/udisks ist von besonderer Relevanz. Zwar erfordert sie nominell den Status “allow_active”, jedoch ist der udisks-Daemon auf nahezu allen Linux-Distributionen standardmäßig installiert, wodurch fast alle Systeme potenziell angreifbar sind. Techniken zur Erlangung des “allow_active”-Status, einschließlich der hier beschriebenen PAM-Schwachstelle, beseitigen diese Hürde faktisch.

Ein Angreifer kann beide Schwachstellen kombinieren und mit minimalem Aufwand Root-Zugriff erlangen. Aufgrund der weiten Verbreitung von udisks und der einfachen Ausnutzbarkeit dieser Angriffskette sollten Unternehmen diese Bedrohung als kritisch und universell einstufen und die verfügbaren Sicherheitsupdates umgehend einspielen.

Die Qualys Threat Research Unit (TRU) hat Proof-of-Concept-Exploits entwickelt, um diese Schwachstellen auf verschiedenen Betriebssystemen zu validieren. Dabei konnte die libblockdev/udisks-Schwachstelle erfolgreich auf Ubuntu, Debian, Fedora und Opensuse Leap 15 ausgenutzt werden.

Funktionsweise von PAM und udisks/libblockdev

PAM-Konfiguration in Opensuse/SLE 15: Das Pluggable Authentication Modules (PAM) Framework steuert, wie sich Nutzer auf Linux-Systemen authentifizieren und Sitzungen starten. In Opensuse/SLE 15 ist der PAM-Stack so konfiguriert, dass er bestimmt, welche Nutzer als “aktiv” gelten — also physisch am System anwesend — und damit bestimmte privilegierte Aktionen ausführen dürfen.

Eine Fehlkonfiguration kann dazu führen, dass jede lokale Anmeldung, einschließlich über SSH, so behandelt wird, als säße der Nutzer direkt an der Konsole. Dieser “allow_active”-Status erlaubt normalerweise Zugriff auf bestimmte polkit-Operationen, die physisch anwesenden Nutzern vorbehalten sind. Wird dieser Mechanismus falsch angewendet, können nicht privilegierte Nutzer Aktionen ausführen, die ihnen eigentlich nicht gestattet sein sollten.

udisks-Daemon und libblockdev: Der udisks-Dienst läuft standardmäßig auf den meisten Linux-Systemen und bietet über D-Bus eine Schnittstelle zur Speicherverwaltung — darunter das Mounten, Abfragen und Formatieren von Datenträgern. Intern greift udisks auf libblockdev zu, eine Bibliothek zur Verarbeitung von Blockgeräteoperationen auf niedriger Ebene. Eine über udisks erreichbare Schwachstelle in libblockdev ermöglicht es jedem Nutzer mit “allow_active”-Status, direkt Root-Rechte zu erlangen.

Da udisks so weit verbreitet ist, ist das Verständnis seiner Funktion und der Abhängigkeit von libblockdev entscheidend. udisks fungiert dabei als Bindeglied zwischen den Sitzungsrechten eines Nutzers und den Verwaltungsfunktionen für Geräte. Eine Schwachstelle an dieser Stelle kann vollständige Systemkontrolle ermöglichen.

Mögliche Auswirkungen

Diese modernen 'local-to-root'-Exploits überbrücken die Lücke zwischen einem gewöhnlichen eingeloggten Nutzer und einer vollständigen Systemübernahme. Durch das Verketten legitimer Dienste wie udisks-Loop-Mounts und Besonderheiten in der PAM- und Umgebungs-Konfiguration können Angreifer mit einer aktiven GUI- oder SSH-Sitzung die Vertrauensgrenze von polkit (“allow_active”) überwinden und sich innerhalb von Sekunden Root-Rechte verschaffen.

Root-Zugriff stellt die schwerwiegendste Art von Schwachstelle dar. Ein Angreifer kann damit unbemerkt EDR-Agenten deaktivieren, Kernel-Backdoors für persistente Codeausführung installieren oder Systemkonfigurationen manipulieren, die Neustarts überdauern. Solche kompromittierten Server können als Ausgangspunkt für laterale Bewegungen im Netzwerk dienen.

Exploits, die auf standardmäßig installierte Serverpakete abzielen, können sich von einem einzelnen kompromittierten System auf ganze Flotten ausbreiten. Um dieses Risiko zu verringern, sollten systemweit Updates eingespielt und Sicherheitsmaßnahmen wie polkit-Regeln und Loop-Mount-Policies verschärft werden. Diese breit angelegte Strategie hilft, eine erste Kompromittierung einzudämmen und das gesamte Netzwerk zu schützen.

Absicherung gegen die libblockdev/udisks-Schwachstelle

Die Standard-Polkit-Richtlinie für die Aktion “org.freedesktop.udisks2.modify-device” erlaubt es möglicherweise jedem aktiven Nutzer, Geräte zu verändern. Diese Konfiguration kann ausgenutzt werden, um Sicherheitsmechanismen zu umgehen. Um dies zu verhindern, sollte die Richtlinie so angepasst werden, dass für diese Aktion eine Authentifizierung durch einen Administrator erforderlich ist.

Zur Minderung dieser Schwachstelle sollte die Polkit-Regel für “org.freedesktop.udisks2.modify-device” angepasst werden. Der Wert für “allow_active” sollte von “yes” auf “auth_admin” geändert werden. Darüber hinaus sollten stets verfügbare Sicherheits-Updates priorisiert und die konkreten Empfehlungen der jeweiligen Linux-Distribution beachtet werden.

(ID:50457670)