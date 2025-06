De nouvelles failles critiques dans Linux permettent aux pirates d'accéder aux droits root via des vulnérabilités PAM et udisks qui affectent un large éventail de systèmes Linux, selon un rapport de Qualys

Comprendre PAM et udisks/libblockdev

Impact potentiel

Directive d'atténuation pour la vulnérabilité libblockdev/udisks

Configuration Change To mitigate this vulnerability, modify the polkit rule for "org.freedesktop.udisks2.modify-device". Change the allow_active setting from yes to auth_admin.



Linux est le système d'exploitation prédominant pour les serveurs et est également utilisé sur les 500 supercalculateurs les plus rapides au monde.Récemment, la Qualys Threat Research Unit a révélé deux vulnérabilités liées à l'escalade des privilèges locaux qui affectent un large éventail de systèmes Linux. La première, CVE-2025-6018, affecte openSUSE Leap 15 et SUSE Linux Enterprise 15. Elle concerne la pile PAM (Pluggable Authentication Modules), qui détermine si les utilisateurs sont considérés comme "actifs" et éligibles pour des actions privilégiées. Cette faille permet à des attaquants locaux non privilégiés, y compris ceux qui se connectent via SSH, d'élever leur statut àet de déclencher des actions normalement réservées aux utilisateurs physiquement présents viaLa deuxième vulnérabilité, CVE-2025-6019, réside danset est exploitable via le daemon. Udisks est livré par défaut sur la plupart des distributions Linux et fournit une interface D-Bus pour la gestion du stockage local. Bien que l'exploitation nécessite des privilèges allow_active, la facilité avec laquelle ceux-ci peuvent être obtenus grâce à la faille PAM signifie que presque tout attaquant non privilégié peut combiner les deux bogues pour obtenir un accès root complet.Ces exploits suppriment les barrières entre les connexions standard et root, permettant à tout attaquant disposant d'une session graphique ou SSH active de prendre le contrôle des systèmes affectés en quelques secondes. Qualys souligne la gravité de la situation en raison de l'omniprésence d'udisks et de la simplicité des techniques requises, et conseille aux organisations d'appliquer les correctifs sans délai.Voici les détails de la découverte :: le framework Pluggable Authentication Modules (PAM) contrôle la manière dont les utilisateurs s'authentifient et démarrent des sessions sous Linux. Dans openSUSE/SLE 15, la pile PAM est configurée pour déterminer quels utilisateurs sont considérés comme « actifs » (c'est-à-dire physiquement présents) pour les actions privilégiées. Une mauvaise configuration à ce niveau peut traiter toute connexion locale, y compris les sessions SSH à distance, comme si l'utilisateur était devant la console. Ce contexte « allow_active » accorde généralement l'accès à certaines opérations polkit réservées à une personne présente sur la machine ; s'il est mal appliqué, il permet à un utilisateur non privilégié d'effectuer des actions qu'il ne devrait pas pouvoir effectuer.: le service udisks s'exécute par défaut sur la plupart des systèmes Linux, offrant une interface D-Bus pour la gestion du stockage (montage, interrogation, formatage, etc.). En arrière-plan, udisks fait appel à libblockdev, une bibliothèque qui gère les opérations de bas niveau sur les périphériques bloc. Une faille dans libblockdev, accessible via udisks, permet à tout utilisateur déjà dans le contexte « allow_active » de passer directement au niveau root. Étant donné que udisks est omniprésent, il est essentiel de comprendre son rôle et la manière dont il utilise libblockdev ; c'est le composant qui relie les privilèges d'une session aux routines de gestion des périphériques, et une vulnérabilité à ce niveau peut donner le contrôle total du système.Ces exploits modernes « local-to-root » ont comblé le fossé entre un utilisateur ordinaire connecté et la prise de contrôle totale du système. En enchaînant des services légitimes tels que les montages en boucle udisks et les particularités PAM/environnement, les attaquants qui possèdent une session GUI ou SSH active peuvent franchir la zone de confiance allow_active de polkit et devenir root en quelques secondes. Rien d'exotique n'est nécessaire : chaque lien est préinstallé sur les distributions Linux courantes et leurs versions serveur.L'accès root est la vulnérabilité ayant le plus grand impact. À partir de là, un intrus peut silencieusement décharger les agents EDR et implanter des portes dérobées au niveau du noyau pour l'exécution persistante de code ou réécrire les configurations système qui survivent aux redémarrages. Ces serveurs compromis deviennent des rampes de lancement pour des mouvements latéraux. Les exploits ciblant les paquets serveur par défaut peuvent se propager d'un seul système compromis à l'ensemble du parc. Pour réduire ce risque, des mises à jour à l'échelle du parc doivent être appliquées et les mesures de sécurité telles que les règles polkit et les politiques de montage en boucle doivent être renforcées. Cette stratégie globale permet de contenir une première intrusion et de protéger l'ensemble du réseau.La politique polkit par défaut pour l'action « org.freedesktop.udisks2.modify-device » peut permettre à tout utilisateur actif de modifier des périphériques. Cela peut être exploité pour contourner les restrictions de sécurité. Pour atténuer ce risque, la politique doit être modifiée afin d'exiger l'authentification de l'administrateur pour cette action.En combinant CVE-2025-6018 et CVE-2025-6019, tout utilisateur SSH SUSE 15/Leap 15 peut passer du statut « normal » à celui de root avec les PAM + udisks installés par défaut. Une vulnérabilité accorde allow_active, et la suivante transforme ce statut en root complet, le tout avec des paquets intégrés. L'accès root permet la falsification d'agents, la persistance et le mouvement latéral, de sorte qu'un seul serveur non corrigé met en danger l'ensemble du parc. Corrigez PAM et libblockdev/udisks partout pour éliminer cette voie d'accès.Pensez-vous que ce rapport est crédible ou pertinent ?Quel est votre avis sur le sujet ?