Três vulnerabilidades graves foram recentemente identificadas em componentes essenciais do ecossistema Linux, afetando distribuições amplamente utilizadas como Ubuntu, Fedora, Debian, openSUSE e SUSE Linux Enterprise. As falhas, descobertas pela equipe da Qualys Threat Research Unit (TRU), permitem que usuários locais obtenham acesso root completo, comprometendo seriamente a segurança de sistemas operacionais que adotam configurações padrão.
O que está em risco?
As falhas aproveitam a interação entre serviços legítimos — como os Módulos de Autenticação Plugáveis (PAM) e o daemon Udisks, responsável por gerenciar dispositivos de armazenamento. Utilizando permissões concedidas pelo polkit (policy kit), um invasor com acesso local, seja por sessão gráfica ou via SSH, pode rapidamente escalar seus privilégios até o nível mais alto do sistema.
Entenda as vulnerabilidades
- CVE-2025-6018: Presente em distribuições como openSUSE Leap 15 e SUSE Linux Enterprise 15, essa falha permite que usuários comuns ganhem privilégios administrativos (allow_active) por meio de configurações incorretas no PAM.
- CVE-2025-6019: Explora a integração entre a biblioteca libblockdev e o udisks, permitindo que permissões allow_active se transformem em acesso root total sem autenticação adicional.
- CVE-2025-6020: Afeta o módulo pam_namespace do Linux PAM. Ela permite a elevação de privilégios via links simbólicos, travessia de diretório e condições de corrida — especialmente perigoso quando usuários têm controle sobre caminhos utilizados pela configuração.
Por que é tão grave?
Segundo Saeed Abbasi, gerente sênior da Qualys TRU, essas falhas demonstram como é possível “encurtar drasticamente a distância entre um usuário comum e o controle completo do sistema”. A facilidade com que as vulnerabilidades podem ser exploradas em ambientes com configurações padrão torna a ameaça ainda mais preocupante.
A presença do udisks como componente padrão em praticamente todas as distribuições Linux amplia o alcance da ameaça, permitindo que os ataques sejam reproduzidos em grande escala — principalmente se as falhas forem encadeadas, como demonstrado pela Qualys.
O que fazer?
As principais distribuições afetadas já estão liberando patches de segurança para corrigir os problemas. Até que as atualizações sejam aplicadas, especialistas recomendam:
- Alterar as regras do polkit para exigir autenticação explícita ao modificar dispositivos via udisks.
- Desativar ou restringir o pam_namespace, especialmente em caminhos que podem ser manipulados por usuários locais.
- Evitar ambientes sem autenticação multifator em servidores acessíveis remotamente.
Conclusão
Estas falhas demonstram como configurações padrão, muitas vezes vistas como inofensivas, podem abrir portas perigosas para o comprometimento completo de sistemas Linux. Administradores devem agir com urgência, aplicando atualizações e revisando políticas de autenticação para minimizar riscos.
🔐 Segurança em sistemas Linux começa com vigilância constante e aplicação rápida de correções. A falha pode ser técnica, mas o impacto é muito real.
