La comunidad de seguridad alerta sobre dos vulnerabilidades recientemente descubiertas que permiten a atacantes locales escalar privilegios hasta obtener control total (root) en la mayoría de las distribuciones Linux. La explotación de estos fallos, identificados como CVE-2025-6018 y CVE-2025-6019, representa una grave amenaza para servidores y estaciones de trabajo que no hayan sido parcheados.
Una cadena de ataque de “usuario local a root” al alcance de casi cualquier atacante
La primera vulnerabilidad (CVE-2025-6018) afecta a la configuración de PAM (Pluggable Authentication Modules) en openSUSE Leap 15 y SUSE Linux Enterprise 15. Un atacante local puede obtener los privilegios del usuario “allow_active”, un paso previo clave para lanzar el ataque.
La segunda (CVE-2025-6019) reside en la biblioteca libblockdev y permite que ese usuario “allow_active” eleve sus privilegios hasta root a través de udisks, el servicio de gestión de almacenamiento que se ejecuta por defecto en casi todas las distribuciones de Linux modernas (Ubuntu, Debian, Fedora, openSUSE, etc.).
La cadena de explotación es sencilla: primero se obtienen los privilegios de “allow_active” mediante el fallo de PAM y, a continuación, se usa la vulnerabilidad de udisks/libblockdev para conseguir acceso total como root. El equipo de investigación de amenazas de Qualys (TRU) ha confirmado la explotación exitosa de CVE-2025-6019 en Ubuntu, Debian, Fedora y openSUSE Leap 15, demostrando la criticidad de la amenaza.
Un riesgo universal para servidores Linux
Aunque la explotación completa requiere permisos “allow_active”, en la práctica esta restricción es mínima, ya que udisks suele estar disponible y el fallo de PAM permite obtener fácilmente ese acceso inicial. “Dada la ubicuidad de udisks y la simplicidad del exploit, cualquier sistema Linux sin parchear está en riesgo crítico”, advierte Saeed Abbasi, responsable de Qualys TRU.
La obtención de root facilita a los atacantes manipular agentes de seguridad, establecer persistencia y moverse lateralmente por la red, poniendo en peligro no solo el servidor afectado sino toda la infraestructura.
Parchear es obligatorio: instrucciones para administradores
Qualys ha publicado pruebas de concepto y detalles técnicos, así como enlaces a los parches de seguridad. Se recomienda encarecidamente a todos los administradores de sistemas Linux que:
- Actualicen de inmediato tanto PAM como libblockdev/udisks en todas las máquinas, especialmente en entornos de producción.
- Realicen auditorías de privilegios y monitoricen cuentas con permisos “allow_active”.
- Refuercen la segmentación de la red y la gestión de cuentas privilegiadas, para minimizar el impacto en caso de que algún sistema no pueda ser parcheado de inmediato.
Contexto: una larga serie de vulnerabilidades críticas en Linux
Estas dos nuevas vulnerabilidades se suman a una lista creciente de fallos críticos en componentes ampliamente desplegados de Linux. En los últimos años, Qualys y otros equipos han reportado vulnerabilidades en Polkit (PwnKit), glibc (Looney Tunables), el sistema de archivos del kernel (Sequoia) y Sudo (Baron Samedit), todas ellas con potencial de escalada a root en sistemas no parcheados.
La facilidad y rapidez con que estas vulnerabilidades pueden ser encadenadas pone de relieve la importancia de la gestión automatizada de parches, frente al riesgo de que un solo sistema desactualizado sirva de puerta de entrada para comprometer toda una red.
Conclusión
La explotación de las vulnerabilidades en PAM y udisks/libblockdev es actualmente uno de los vectores más peligrosos para la obtención de privilegios root en Linux. Dada la criticidad y el alcance universal, la comunidad de ciberseguridad insta a aplicar los parches sin demora y a revisar los controles de acceso en todos los entornos Linux.
Fuente: bleepingcomputer, blog.segu-info, CVE-2025-6018, CVE-2025-6019 y Qualys
