Verkettete Root-Eskalation in Linux: Von PAM-Konfigurationsfehler zu Root über libblockdev/udisks

Table of Contents

Am 17. Juni 2025 veröffentlichte das Qualys Threat Research Unit (TRU) eine Schwachstellenanalyse zu zwei eng miteinander verknüpften lokalen Privilegieneskalationen (LPEs) in openSUSE Leap 15 und SUSE Linux Enterprise 15. Diese Lücken – CVE-2025-6018 und CVE-2025-6019 – ermöglichen einem einfachen Nutzer über legitime Dienste wie PAM und udisks den vollständigen Root-Zugriff auf betroffene Systeme. Die Entdeckungen betreffen nicht nur SUSE, sondern haben potenziell weitreichende Konsequenzen für alle großen Linux-Distributionen.

Die erste Lücke: Vom unprivilegierten Nutzer zur “allow_active”-Rolle (CVE-2025-6018)

Die erste Schwachstelle liegt in der PAM-Konfiguration von SUSE 15. Ein lokaler Angreifer, der sich etwa per SSH anmeldet, kann die Datei ~/.pam_environment manipulieren und bestimmte Umgebungsvariablen setzen – namentlich XDG_SEAT=seat0 und XDG_VTNR=1. Dadurch wird ihm irrtümlich die Rolle eines physisch anwesenden Nutzers (sog. allow_active) zugewiesen. Diese Rolle erlaubt unter anderem den Zugriff auf sicherheitsrelevante polkit-Aktionen, die normalerweise einem Nutzer am Gerät vorbehalten sind.

Der Trick funktioniert deshalb, weil das pam_env-Modul Umgebungsvariablen früh im Authentifizierungsprozess setzt und pam_systemd diese später verwendet, ohne die Quelle zu prüfen. Ein Angreifer kann sich so als physischer Nutzer ausgeben – eine gefährliche Fehleinschätzung im Rechtevergabemodell vieler Linux-Systeme.

Die zweite Lücke: Von “allow_active” zu Root über libblockdev und udisks (CVE-2025-6019)

Während die erste Schwachstelle bereits hochriskant ist, entfaltet sich das volle Potenzial dieser Angriffskette erst in Kombination mit der zweiten Lücke. Diese liegt in der Interaktion zwischen dem weit verbreiteten udisks-Daemon und der Bibliothek libblockdev. Udisks ist ein D-Bus-basierter Dienst für Speichermanagement, der standardmäßig auf den meisten Linux-Systemen läuft.

Die Sicherheitslücke erlaubt es einem “allow_active”-Nutzer, eine manipulierte XFS-Datei als Loop-Device zu mounten. Dabei wird diese temporär im /tmp-Verzeichnis eingebunden – jedoch ohne die sicherheitskritischen Mount-Flags nosuid und nodev. Das Ergebnis: Ein darin platzierter SUID-Root-Binary wird vom System akzeptiert und kann zur vollständigen Root-Eskalation führen.

Der Angriff ist deshalb so alarmierend, weil er keine Kernel-Exploits, keine komplizierten Races oder tiefe Kenntnisse erfordert. Alles läuft über reguläre, standardmäßig installierte Komponenten.

Zusammen genommen erlauben CVE-2025-6018 und CVE-2025-6019 einem völlig unprivilegierten Nutzer, sich zunächst in die „allow_active“-Rolle zu bringen und dann über udisks/libblockdev Root-Zugriff zu erlangen. In Testumgebungen von Qualys funktionierte dies nicht nur auf SUSE-Systemen, sondern auch auf Ubuntu, Debian und Fedora.

Ein kompromittierter Server kann anschließend als Sprungbrett für laterale Bewegungen innerhalb der IT-Infrastruktur genutzt werden. Darüber hinaus kann ein Angreifer EDR-Software deaktivieren, Kernel-Backdoors installieren oder Konfigurationen persistieren, die selbst nach einem Reboot aktiv bleiben.

Die empfohlenen Gegenmaßnahmen lassen sich in zwei Kategorien einteilen:

  1. Konfigurationsänderung für polkit: Die Aktion org.freedesktop.udisks2.modify-device sollte nicht länger mit allow_active=yes, sondern mit auth_admin abgesichert werden. So wird für sensible Geräteoperationen eine explizite Admin-Authentifizierung verlangt.
  2. Software-Updates installieren: Betroffene Distributionen wie openSUSE und SLE 15 haben bereits Sicherheitsupdates veröffentlicht. Diese sollten umgehend installiert werden. Zusätzlich empfiehlt sich eine systemweite Deaktivierung der unsicheren pam_env-Option user_readenv, da diese Funktion ab PAM 1.5 ohnehin als veraltet gilt.

Administratoren sind aufgerufen, nicht nur zu patchen, sondern auch ihre Policy-Definitionen zu überdenken und ggf. restriktiver zu gestalten. Ein sicherheitsbewusstes Standard-Setup ist der Schlüssel zur Resilienz gegenüber solchen Angriffsketten.

Related Posts

Serviettenfirma nach Hackerangriff insolvent

Ein schwerwiegender Hackerangriff hat die Traditionsfirma Fasana aus Euskirchen in eine existenzielle Krise gestürzt. Fasana stellt seit mehr als 100 Jahren Servietten her. Nach der Cyberattacke vom 19. Mai 2025, bei der unter anderem Erpresserbriefe über Drucker ausgegeben wurden und sämtliche IT-Systeme lahmgelegt wurden, musste das Unternehmen nun Insolvenz anmelden. Rund 240 Mitarbeitende sind betroffen.

Read More

CVE-2025-43200: iCloud-Link-Angriff auf Apple-Geräte entdeckt

Am 16. Juni 2025 wurde eine neue Sicherheitslücke mit der Kennung CVE-2025-43200 und der EUVD-ID EUVD-2025-18428 veröffentlicht. Die Schwachstelle betrifft zahlreiche Apple-Betriebssysteme, darunter iOS, macOS, watchOS, iPadOS und visionOS. Obwohl der CVSS-Basisscore bei „nur“ 4.8 liegt, stuft das US-Cybersicherheitsamt CISA die Schwachstelle aufgrund ihres Einsatzes in gezielten Angriffen als kritisch genug ein, um sie in den Known Exploited Vulnerabilities Catalog (KEV) aufzunehmen.

Read More

Kritische Lücke CVE-2025-49796 in libxml2 führt zu Denial of Service

In der vergangenen Woche wurde die Sicherheitslücke CVE-2025-49796 in der weit verbreiteten XML-Bibliothek libxml2 öffentlich vergeben. Verantwortlich dafür ist eine Type-Confusion in der Schematron-Komponente, die während der Verarbeitung von sch:name-Elementen zu einem ungültigen Namespace-Pointer (0xffffffffffffffff) und damit zu undefiniertem Verhalten bis hin zu einem Denial of Service führen kann. Der Schweregrad wird mit einem CVSS 4.0-Wert von 8,7 angegeben. Entdeckt wurde die Schwachstelle von Nikita Sveshnikov von Positive Technologies; zeroday.pt hatte das Ticket vor rund einer Woche eröffnet. Als kurzfristige Gegenmaßnahme lässt sich in der Funktion xmlSchematronFormatReport eine zusätzliche Prüfung auf den fehlerhaften Pointer einbauen, bis ein offizieller Patch der ungewarteten Schematron-Codebasis vorliegt.

Read More