Linux-lek geeft aanvaller roottoegang: "organisaties moeten meteen patchen"
Onderzoekers hebbentwee nieuwe Linux-kwetsbaarheden ontdekt waardoor een niet-geprivilegeerde lokale gebruiker rootrechten kan krijgen. "Gegeven dat udisks overal aanwezig is en de eenvoud van de exploit, moeten organisaties dit als een kritiek, universeel risico behandelen en patches zonder vertraging uitrollen", zegt Saeed Abbasi van securitybedrijf Qualys, dat het probleem ontdekte.
Het eerste beveiligingslek (CVE-2025-6018) is aanwezig in de Pluggable Authentication Modules (PAM) framework configuratie van openSUSE Leap 15 en SUSE Linux Enterprise 15. Via deze kwetsbaarheid kan een niet-geprivilegeerde lokale gebruiker, bijvoorbeeld via SSH, zijn rechten verhogen naar die van de "allow_active" user. De PAM stack moet bepalen welke gebruikers "active" zijn, wat wil zeggen fysiek aanwezig, voor het uitvoeren van geprivilegieerde acties. Door een misconfiguratie wordt elke lokale login, waaronder remote SSH-sessies, beschouwd alsof de gebruiker achter de console zit.
De tweede kwetsbaarheid (CVE-2025-6019) is aanwezig in de C library "libblockdev", die voor low-level block-device operaties wordt gebruikt. Een lek in libblockdev, dat te misbruiken is via de udisks daemon die op de meeste Linux-distributies aanwezig is, zorgt ervoor dat "allow_active" gebruikers meteen root kunnen worden.
Door beide kwetsbaarheden te combineren kan een niet-geprivilegeerde lokale gebruiker volledige rootrechten krijgen. "Deze libblockdev/udisks kwetsbaarheid is zeer aanzienlijk. Hoewel het "allow_active" rechten vereist, wordt udisks op bijna de meeste Linux-distributies standaard meegeleverd, dus bijna elk systeem is kwetsbaar. Technieken om "allow_active" rechten te verkrijgen, waaronder het PAM-probleem dat hier wordt gemeld, leggen die lat nog lager", aldus Abbasi.
Volgens Qualys kan een aanvaller CVE-2025-6018 en CVE-2025-6019 met minimale moeite combineren om zo root op het systeem te worden. Het securitybedrijf doet dan ook de oproep om de beschikbaar gestelde patches meteen uit te rollen. Qualys heeft verschillende proof-of-concept exploits ontwikkeld waarmee het libblockdev/udisks-lek op Ubuntu, Debian, Fedora en openSUSE Leap 15 is te misbruiken.
Niet iets om thuis zorgen om te maken.
Het zit standaard niet in RHEL/CentOS/Almalinux/Rocky/Oraclelinux etc. maar ik zie wel dat het in Fedora zit.
Dus voor zover ik kan zien is het een desktop linux issue, udisks2 lijkt voor automount gebruikt te worden.
Dan is 99% van de linux installaties niet kwetsbaar en dat had Qualsys er wel even bij mogen vermelden
udisksd of wel de daemon is bijna bij alle systemen aan de ctl niet en udisks2 niet
ps aux l grep udisksd
libblockdev is normaliter zoals je de naam al vermoed een development package of wel devel
En nee je hoeft niet alle twee de aanavllen te chainen dat is een voorbeeld van hoe het goed mis kan gaan omdat ze hoofdzakelijk keken naar SUSE.
Ik kan iedergeval bevestigen dat CloudLinux niet kwetsbaar is voor deze CVE tenzij je het vanuit powertools repo erop hebt gezet of handmatig gecompiled. Andere systemen check bij je leverancier, developer.
Dat is een tip die ik blijf herhalen hou contact met je leverancier, developer over dit soort zaken. Dat geldt ook voor particulieren zorg altijd voor een officieel antwoord ze zijn meestal eerder op de hoogte dan jou en hebben dus ook vaak al een kant en klare uitleg ervoor paraat scheelt je werk en dit soort fouten met interpretatie van meldingen.
En tweede neem alle meldingen serieus tot je kan bewijzen dat het jou systeem niet treft. Het bagataliseren van meldingen is stupide want er is altijd wel een groep die wel kwetsbaar ervoor is. Het is niet aan ons om te bepalen wat de impact is voor de rest van de wereld daarvoor hebben we meet technieken ontwikkelt zoals CVSSv3 wat deze heeft staan op een 8.8
De melding is gedegen er zijn poc's van mainstream distros linux based OS buiten SUSE dus neem het serieus.
https://ubuntu.com/security/notices
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?