Vollständige Systemübernahme in Sekunden : Neue Schwachstellen in Linux : Zwei lokal ausnutzbare Sicherheitslücken stellen zentrale Linux-Distributionen vor ein gravierendes Problem
Sicherheitsanalysten haben zwei schwerwiegende Schwachstellen in Linux-Komponenten entdeckt, die gemeinsam eine vollständige Privilegieneskalation auf Root-Ebene ermöglichen. Betroffen sind dabei alle großen Distributionen wie Ubuntu, Debian, Fedora und openSUSE.
Die beiden Schwachstellen sind wie folgt registriert:
- CVE-2025-6018: Erlaubt die Eskalation von einem nicht privilegierten Benutzer zum sogenannten allow_active-Status in der PAM-Konfiguration (Pluggable Authentication Modules) von SUSE Linux Enterprise 15 und openSUSE Leap 15.
- CVE-2025-6019: Nutzt diesen allow_active-Status in Kombination mit einem Fehler in libblockdev und dem standardmäßig installierten udisks–Daemon, um vollständige Root-Rechte zu erlangen.
Was diese Kombination besonders gefährlich macht: Angreifer benötigen keinen physischen Zugang zum System. Ein aktives GUI- oder SSH-Login reicht bereits aus, um über Polkit Root-Rechte zu erhalten.
So funktioniert der Angriffsweg
Sicherheitsexperten von Qualys beschreiben eine Angriffskette, bei der durch gezieltes Ausnutzen des allow_active-Zustands – eigentlich für physisch anwesende Nutzer gedacht – mithilfe von PAM-Konfigurationsfehlern legitime Dienste wie udisks für den Eskalationspfad missbraucht werden. Das Ergebnis: Der Angreifer erhält binnen Sekunden vollständige Kontrolle über das System.
„Diese modernen ‚local-to-root‘-Exploits eliminieren die Trennung zwischen normalem Nutzer und vollständiger Systemkontrolle“ so Saeed Abbasi, Leitender Manager der Qualys-Abteilung für Bedrohungsforschung (Threat Research Unit, TRU)
Auch CVE-2025-6020 bedroht Linux-Systeme
Zusätzlich wurde eine weitere Schwachstelle mit dem Linux PAM-Modul pam_namespace identifiziert:
- CVE-2025-6020: Ein Pfad-Validierungsfehler (Path Traversal) in PAM <= 1.7.0 erlaubt Angreifern, durch symbolische Links und Race Conditions Root-Zugriff zu erlangen.
Die Schwachstelle betrifft Systeme, die polyinstanzierte Verzeichnisse auf Basis von benutzerkontrollierten Pfaden anlegen. Die Lücke wurde in PAM-Version 1.7.1 geschlossen.
Laut Qualys sind zahlreiche Distributionen betroffen – unter anderem:
- Ubuntu
- Debian
- Fedora
- openSUSE Leap 15
- SUSE Linux Enterprise 15
Die udisks-Schwachstelle ist besonders kritisch, da udisks auf nahezu allen Systemen standardmäßig installiert ist.
Empfohlene Schutzmaßnahmen:
- Als temporäre Maßnahme kann die Polkit-Regel für org.freedesktop.udisks2.modify-device angepasst werden, um Administrator-Authentifizierung zu verlangen (auth_admin).
- Für CVE-2025-6020 gilt: pam_namespace deaktivieren oder sicherstellen, dass keine nutzerkontrollierten Pfade verwendet werden. Wer ein eigenes namespace.init-Script verwendet, sollte dieses dringend überprüfen oder ersetzen.
Moderne Angriffswege durch legitime Dienste
Die aktuellen Schwachstellen zeigen, wie harmlose Systemdienste wie PAM und udisks in Kombination mit Fehlkonfigurationen zur vollständigen Systemübernahme missbraucht werden können. Durch die Verfügbarkeit von Proof-of-Concept-Exploits ist es nur eine Frage der Zeit, bis Angriffe in der Praxis erfolgen. Systembetreiber sollten umgehend reagieren und prüfen, ob ihre Systeme betroffen sind – und falls ja, die empfohlenen Maßnahmen zügig umsetzen.