Una exploit de prueba de concepto para una vulnerabilidad de escalada de privilegio local crítico que afecta las principales distribuciones de Linux, incluidos los entornos de Fedora y Suse.
La vulnerabilidad, designada CVE-2025-6019, permite a los usuarios no privilegiados obtener acceso a la raíz a través de la explotación del demonio UDISKSD y su biblioteca de backend libblockdev, creando riesgos de seguridad significativos para sistemas de usuarios múltiples y entornos compartidos.
La vulnerabilidad explota una vulnerabilidad fundamental en la forma en que el Daemon UDISKSD procesa las solicitudes de comunicación D-Bus de los usuarios en el Grupo Atod_Active.
Cuando los sistemas configurados correctamente reciben operaciones relacionadas con el disco a través de llamadas D-Bus, el demonio asume incorrectamente que la membresía del grupo solo proporciona una autorización suficiente para operaciones sensibles.
Esta violación de límites de confianza permite a los atacantes evitar los controles de seguridad previstos y ejecutar operaciones privilegiadas con permisos raíz.
El vector de ataque se centra en el manejo inadecuado de la autoridad de usuarios durante las comunicaciones entre procesos a través de D-BUS. Los investigadores de seguridad descubrieron que el demonio UDISKSD no puede validar adecuadamente el contexto del usuario que invoca, en su lugar, dependiendo únicamente de las controles de privilegios grupales.
Este defecto de diseño crea una vía explotable donde las llamadas de D-Bus se pueden manipular para activar operaciones privilegiadas no autorizadas, lee el análisis de Securelayer7.
Vulnerabilidad de escalada de privilegios de Linux
El análisis estático del código fuente UDISKS2 y LibBlockdev reveló varios patrones preocupantes en la vía de escalada de privilegios. El flujo de ejecución vulnerable sigue el patrón: UDISKS_DAEMON_HANDLE_MOUNT → POLKIT_CHECK → BLKDEV_MOUNT.
Esta secuencia permite a los usuarios no privilegiados hacer que UDISKSD ejecute operaciones de montaje con permisos de raíz, sin pasar por alto el modelo de seguridad previsto.
El proceso de explotación requiere una sofisticación técnica mínima, lo que la hace particularmente peligrosa. Los atacantes solo necesitan membresía en el Grupo TISHIT_ACTIVE y la capacidad de ejecutar comandos UDISKSCTL.
La prueba de concepto demuestra que un comando simple como UDISKSCTL Mount -B /Dev /Loop0 puede dar lugar a operaciones de montaje controladas por la raíz de usuarios que no son Root, lo que puede conducir al compromiso completo del sistema.
La vulnerabilidad afecta una amplia gama de distribuciones de Linux que implementan UDISKS2 y LibBlockdev como parte de sus entornos de escritorio. Los sistemas de Fedora y Suse son particularmente vulnerables debido a sus configuraciones predeterminadas, que a menudo incluyen usuarios en el grupo tOment_active para la funcionalidad de escritorio.
El problema de seguridad es especialmente preocupante para entornos informáticos compartidos, sistemas de usuarios múltiples y cualquier implementación donde la separación de privilegios sea crítica.
Los mantenedores de distribución han respondido con actualizaciones de seguridad que abordan la vulnerabilidad central a través de múltiples mecanismos. La solución principal implica una verificación basada en UID más estricta en lugar de depender únicamente de la membresía grupal. El código actualizado ahora requiere la membresía del grupo y el contexto de UID apropiado antes de permitir operaciones privilegiadas.
Además, las reglas de Polkit se han fortalecido para hacer cumplir más controles de permiso granular. La implementación actualizada incluye rutas de validación mejoradas que eliminan el modelo de confianza solo de grupo e implementan la aplicación de políticas integral a través de la integración de Polkitd.
Los administradores del sistema deben actualizar inmediatamente los paquetes UDISKS2 y LibBlockdev a versiones parcheadas. Las organizaciones también deben auditar sus permisos grupales e implementar reglas de Polkit más estrictas para evitar vulnerabilidades similares.
Este incidente subraya la importancia del modelado de amenazas exhaustiva para los servicios del sistema que interactúan con los autobuses de IPC y manejan las operaciones de hardware, particularmente cuando los supuestos sobre los límites de privilegios del usuario pueden ser defectuosos.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
