Vulnérabilité CVE-2025-6019
Les attaquants peuvent désormais exploiter deux vulnérabilités d'élévation de privilèges locaux (LPE) récemment découvertes pour obtenir un accès root complet sur les systèmes exécutant des distributions Linux populaires. Si elles ne sont pas corrigées, ces failles représentent un risque grave pour les environnements d'entreprise.
Table des matières
CVE-2025-6018 : une mauvaise configuration de PAM ouvre la porte
La première vulnérabilité, identifiée comme CVE-2025-6018, réside dans la configuration du framework PAM (Pluggable Authentication Modules). Elle affecte openSUSE Leap 15 et SUSE Linux Enterprise 15. Cette faille permet aux attaquants locaux d'élever leurs privilèges à ceux de l'utilisateur spécial « allow_active », une étape essentielle pour une compromission root.
CVE-2025-6019 : libblockdev + Udisks équivaut à la racine complète
La deuxième faille, CVE-2025-6019, se trouve dans libblockdev et affecte le démon udisks, un service de gestion de stockage exécuté par défaut sur la plupart des systèmes Linux. Cette vulnérabilité permet à un utilisateur « allow_active » d'élever ses privilèges directement à root. Comme udisks est largement déployé et actif par défaut, presque tous les systèmes Linux sont exposés.
Chaîne d’exploitation : de l’accès local à la racine en quelques secondes
Les attaquants peuvent combiner ces deux vulnérabilités pour créer une chaîne d'exploitation « local vers root ». Ils exploitent d'abord la faille PAM pour obtenir le statut « allow_active », puis la faille udisks pour obtenir un accès root complet. Cette combinaison réduit considérablement les risques de compromission, permettant ainsi de prendre le contrôle des systèmes SUSE quasi instantanément.
Risque inter-distributions : pas seulement un problème SUSE
Bien que découvert sur les systèmes SUSE, les chercheurs ont démontré que CVE-2025-6019 affecte également d'autres distributions majeures, notamment Ubuntu, Debian et Fedora. Grâce à des exploits de preuve de concept (PoC), ils ont réussi à obtenir les privilèges root sur ces plateformes, confirmant ainsi la large applicabilité de l'attaque.
Accès root : une porte d’entrée vers des menaces plus profondes
L'obtention des privilèges root est le pire scénario possible : elle permet la falsification des agents, la persistance des mécanismes et les déplacements latéraux entre les réseaux. Une seule machine non corrigée peut compromettre la sécurité de tout un parc de serveurs.
Agissez vite : un risque universel exige une correction immédiate
Compte tenu de l'omniprésence des udisks et de la facilité avec laquelle la chaîne d'exploitation fonctionne, les entreprises doivent traiter cette vulnérabilité comme une vulnérabilité critique. La mise à jour immédiate de la configuration PAM et de la faille libblockdev/udisks est essentielle pour éliminer cette voie de compromission.
Un modèle de menaces persistantes contre Linux
Ces failles LPE s'inscrivent dans une tendance croissante en matière de menaces de sécurité pour Linux. Parmi les autres vulnérabilités récentes et très médiatisées, on peut citer :
- PwnKit (pkexec de Polkit)
- Looney Tunables (ld.so de la glibc)
- Sequoia (couche du système de fichiers du noyau)
- Baron Samedit (élévation des privilèges Sudo)
Dans le cas de Looney Tunables, le code de démonstration de faisabilité a été publié peu après sa divulgation. En moins d'un mois, des attaques réelles ont été lancées, utilisant le malware Kinsing pour voler les identifiants des fournisseurs de services cloud (CSP).
Conclusion : sécurisez votre infrastructure Linux dès maintenant
La découverte des vulnérabilités CVE-2025-6018 et CVE-2025-6019 renforce l'urgence d'une gestion continue des correctifs et d'une surveillance proactive. Ces vulnérabilités représentent un risque critique et inter-distribution, et doivent être traitées immédiatement afin d'éviter toute compromission à la racine.
