De nouvelles failles critiques dans Linux permettent aux pirates d'accéder aux droits root via des vulnérabilités PAM et udisks qui affectent un large éventail de systèmes Linux

Selon un rapport de Qualys

De nouvelles failles critiques dans Linux permettent aux pirates d'accéder aux droits root via des vulnérabilités PAM et udisks qui affectent un large éventail de systèmes Linux, selon un rapport de Qualys

La Qualys Threat Research Unit a révélé deux vulnérabilités liées à l'escalade des privilèges locaux qui affectent un large éventail de systèmes Linux. La première, CVE-2025-6018, affecte openSUSE Leap 15 et SUSE Linux Enterprise 15. Elle concerne la pile PAM (Pluggable Authentication Modules), qui détermine si les utilisateurs sont considérés comme "actifs" et éligibles pour des actions privilégiées. La deuxième vulnérabilité, CVE-2025-6019, réside dans libblockdev et est exploitable via le daemon udisks.

Linux est une famille de systèmes d'exploitation open source de type Unix basés sur le noyau Linux, un noyau de système d'exploitation publié pour la première fois le 17 septembre 1991 par Linus Torvalds. Linux est généralement proposé sous forme de distribution Linux (distro), qui comprend le noyau et les logiciels et bibliothèques système associés, dont la plupart sont fournis par des tiers, afin de créer un système d'exploitation complet, conçu comme un clone d'Unix et publié sous licence GPL copyleft.

Linux est l'un des exemples les plus marquants de collaboration dans le domaine des logiciels libres et open source. Initialement développé pour les ordinateurs personnels basés sur x86, il a depuis été porté sur plus de plateformes que tout autre système d'exploitation[30] et est utilisé sur une grande variété d'appareils, notamment les PC, les stations de travail, les ordinateurs centraux et les systèmes embarqués. Linux est le système d'exploitation prédominant pour les serveurs et est également utilisé sur les 500 supercalculateurs les plus rapides au monde.

Récemment, la Qualys Threat Research Unit a révélé deux vulnérabilités liées à l'escalade des privilèges locaux qui affectent un large éventail de systèmes Linux. La première, CVE-2025-6018, affecte openSUSE Leap 15 et SUSE Linux Enterprise 15. Elle concerne la pile PAM (Pluggable Authentication Modules), qui détermine si les utilisateurs sont considérés comme "actifs" et éligibles pour des actions privilégiées. Cette faille permet à des attaquants locaux non privilégiés, y compris ceux qui se connectent via SSH, d'élever leur statut à allow_active et de déclencher des actions normalement réservées aux utilisateurs physiquement présents via polkit.

La deuxième vulnérabilité, CVE-2025-6019, réside dans libblockdev et est exploitable via le daemon udisks. Udisks est livré par défaut sur la plupart des distributions Linux et fournit une interface D-Bus pour la gestion du stockage local. Bien que l'exploitation nécessite des privilèges allow_active, la facilité avec laquelle ceux-ci peuvent être obtenus grâce à la faille PAM signifie que presque tout attaquant non privilégié peut combiner les deux bogues pour obtenir un accès root complet.

Ces exploits suppriment les barrières entre les connexions standard et root, permettant à tout attaquant disposant d'une session graphique ou SSH active de prendre le contrôle des systèmes affectés en quelques secondes. Qualys souligne la gravité de la situation en raison de l'omniprésence d'udisks et de la simplicité des techniques requises, et conseille aux organisations d'appliquer les correctifs sans délai.


Voici les détails de la découverte :

Comprendre PAM et udisks/libblockdev

Configuration PAM dans openSUSE/SLE 15 : le framework Pluggable Authentication Modules (PAM) contrôle la manière dont les utilisateurs s'authentifient et démarrent des sessions sous Linux. Dans openSUSE/SLE 15, la pile PAM est configurée pour déterminer quels utilisateurs sont considérés comme « actifs » (c'est-à-dire physiquement présents) pour les actions privilégiées. Une mauvaise configuration à ce niveau peut traiter toute connexion locale, y compris les sessions SSH à distance, comme si l'utilisateur était devant la console. Ce contexte « allow_active » accorde généralement l'accès à certaines opérations polkit réservées à une personne présente sur la machine ; s'il est mal appliqué, il permet à un utilisateur non privilégié d'effectuer des actions qu'il ne devrait pas pouvoir effectuer.

Daemon udisks et libblockdev : le service udisks s'exécute par défaut sur la plupart des systèmes Linux, offrant une interface D-Bus pour la gestion du stockage (montage, interrogation, formatage, etc.). En arrière-plan, udisks fait appel à libblockdev, une bibliothèque qui gère les opérations de bas niveau sur les périphériques bloc. Une faille dans libblockdev, accessible via udisks, permet à tout utilisateur déjà dans le contexte « allow_active » de passer directement au niveau root. Étant donné que udisks est omniprésent, il est essentiel de comprendre son rôle et la manière dont il utilise libblockdev ; c'est le composant qui relie les privilèges d'une session aux routines de gestion des périphériques, et une vulnérabilité à ce niveau peut donner le contrôle total du système.

Impact potentiel

Ces exploits modernes « local-to-root » ont comblé le fossé entre un utilisateur ordinaire connecté et la prise de contrôle totale du système. En enchaînant des services légitimes tels que les montages en boucle udisks et les particularités PAM/environnement, les attaquants qui possèdent une session GUI ou SSH active peuvent franchir la zone de confiance allow_active de polkit et devenir root en quelques secondes. Rien d'exotique n'est nécessaire : chaque lien est préinstallé sur les distributions Linux courantes et leurs versions serveur.

L'accès root est la vulnérabilité ayant le plus grand impact. À partir de là, un intrus peut silencieusement décharger les agents EDR et implanter des portes dérobées au niveau du noyau pour l'exécution persistante de code ou réécrire les configurations système qui survivent aux redémarrages. Ces serveurs compromis deviennent des rampes de lancement pour des mouvements latéraux. Les exploits ciblant les paquets serveur par défaut peuvent se propager d'un seul système compromis à l'ensemble du parc. Pour réduire ce risque, des mises à jour à l'échelle du parc doivent être appliquées et les mesures de sécurité telles que les règles polkit et les politiques de montage en boucle doivent être renforcées. Cette stratégie globale permet de contenir une première intrusion et de protéger l'ensemble du réseau.

Directive d'atténuation pour la vulnérabilité libblockdev/udisks

La politique polkit par défaut pour l'action « org.freedesktop.udisks2.modify-device » peut permettre à tout utilisateur actif de modifier des périphériques. Cela peut être exploité pour contourner les restrictions de sécurité. Pour atténuer ce risque, la politique doit être modifiée afin d'exiger l'authentification de l'administrateur pour cette action.

Conclusion

En combinant CVE-2025-6018 et CVE-2025-6019, tout utilisateur SSH SUSE 15/Leap 15 peut passer du statut « normal » à celui de root avec les PAM + udisks installés par défaut. Une vulnérabilité accorde allow_active, et la suivante transforme ce statut en root complet, le tout avec des paquets intégrés. L'accès root permet la falsification d'agents, la persistance et le mouvement latéral, de sorte qu'un seul serveur non corrigé met en danger l'ensemble du parc. Corrigez PAM et libblockdev/udisks partout pour éliminer cette voie d'accès.

Sources : Qualys Threat Research Unit, Détail technique des vulnérabilités

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Une nouvelle vulnérabilité d'élévation de privilèges est découverte dans le noyau Linux. Elle permet à un attaquant local d'exécuter un logiciel malveillant sur les systèmes vulnérables

La CISA signale qu'une faille critique du noyau Linux est activement exploitée et demande instamment aux utilisateurs concernés de procéder à une mise à jour le plus rapidement possible

Des milliers de systèmes Linux infectés par le logiciel malveillant furtif Perfctl depuis 2021, illustrant les défis de sécurité auxquels Linux fait face