Am 17. Juni 2025 veröffentlichte das Qualys Threat Research Unit (TRU) eine Schwachstellenanalyse zu zwei eng miteinander verknüpften lokalen Privilegieneskalationen (LPEs) in openSUSE Leap 15 und SUSE Linux Enterprise 15. Diese Lücken – CVE-2025-6018 und CVE-2025-6019 – ermöglichen einem einfachen Nutzer über legitime Dienste wie PAM und udisks den vollständigen Root-Zugriff auf betroffene Systeme. Die Entdeckungen betreffen nicht nur SUSE, sondern haben potenziell weitreichende Konsequenzen für alle großen Linux-Distributionen.
Die erste Lücke: Vom unprivilegierten Nutzer zur „allow_active“-Rolle (CVE-2025-6018)
Die erste Schwachstelle liegt in der PAM-Konfiguration von SUSE 15. Ein lokaler Angreifer, der sich etwa per SSH anmeldet, kann die Datei ~/.pam_environment manipulieren und bestimmte Umgebungsvariablen setzen – namentlich XDG_SEAT=seat0 und XDG_VTNR=1. Dadurch wird ihm irrtümlich die Rolle eines physisch anwesenden Nutzers (sog. allow_active) zugewiesen. Diese Rolle erlaubt unter anderem den Zugriff auf sicherheitsrelevante polkit-Aktionen, die normalerweise einem Nutzer am Gerät vorbehalten sind.
Der Trick funktioniert deshalb, weil das pam_env-Modul Umgebungsvariablen früh im Authentifizierungsprozess setzt und pam_systemd diese später verwendet, ohne die Quelle zu prüfen. Ein Angreifer kann sich so als physischer Nutzer ausgeben – eine gefährliche Fehleinschätzung im Rechtevergabemodell vieler Linux-Systeme.
Die zweite Lücke: Von „allow_active“ zu Root über libblockdev und udisks (CVE-2025-6019)
Während die erste Schwachstelle bereits hochriskant ist, entfaltet sich das volle Potenzial dieser Angriffskette erst in Kombination mit der zweiten Lücke. Diese liegt in der Interaktion zwischen dem weit verbreiteten udisks-Daemon und der Bibliothek libblockdev. Udisks ist ein D-Bus-basierter Dienst für Speichermanagement, der standardmäßig auf den meisten Linux-Systemen läuft.
Die Sicherheitslücke erlaubt es einem „allow_active“-Nutzer, eine manipulierte XFS-Datei als Loop-Device zu mounten. Dabei wird diese temporär im /tmp-Verzeichnis eingebunden – jedoch ohne die sicherheitskritischen Mount-Flags nosuid und nodev. Das Ergebnis: Ein darin platzierter SUID-Root-Binary wird vom System akzeptiert und kann zur vollständigen Root-Eskalation führen.
Der Angriff ist deshalb so alarmierend, weil er keine Kernel-Exploits, keine komplizierten Races oder tiefe Kenntnisse erfordert. Alles läuft über reguläre, standardmäßig installierte Komponenten.
Zusammen genommen erlauben CVE-2025-6018 und CVE-2025-6019 einem völlig unprivilegierten Nutzer, sich zunächst in die „allow_active“-Rolle zu bringen und dann über udisks/libblockdev Root-Zugriff zu erlangen. In Testumgebungen von Qualys funktionierte dies nicht nur auf SUSE-Systemen, sondern auch auf Ubuntu, Debian und Fedora.
Ein kompromittierter Server kann anschließend als Sprungbrett für laterale Bewegungen innerhalb der IT-Infrastruktur genutzt werden. Darüber hinaus kann ein Angreifer EDR-Software deaktivieren, Kernel-Backdoors installieren oder Konfigurationen persistieren, die selbst nach einem Reboot aktiv bleiben.
Die empfohlenen Gegenmaßnahmen lassen sich in zwei Kategorien einteilen:
- Konfigurationsänderung für polkit: Die Aktion
org.freedesktop.udisks2.modify-devicesollte nicht länger mitallow_active=yes, sondern mitauth_adminabgesichert werden. So wird für sensible Geräteoperationen eine explizite Admin-Authentifizierung verlangt. - Software-Updates installieren: Betroffene Distributionen wie openSUSE und SLE 15 haben bereits Sicherheitsupdates veröffentlicht. Diese sollten umgehend installiert werden. Zusätzlich empfiehlt sich eine systemweite Deaktivierung der unsicheren
pam_env-Optionuser_readenv, da diese Funktion ab PAM 1.5 ohnehin als veraltet gilt.
Administratoren sind aufgerufen, nicht nur zu patchen, sondern auch ihre Policy-Definitionen zu überdenken und ggf. restriktiver zu gestalten. Ein sicherheitsbewusstes Standard-Setup ist der Schlüssel zur Resilienz gegenüber solchen Angriffsketten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: