Linux : l’exploitation de ces deux failles de sécurité permet de devenir root !
Des chercheurs en sécurité ont découvert deux vulnérabilités dans Linux qui, combinées, permettent d’obtenir un accès root sur la majorité des distributions Linux, le tout avec un minimum d’efforts. Faisons le point.
Une exploitation conjointe pour obtenir un accès root sur Linux
Les chercheurs de l'équipe Qualys Threat Research Unit viennent de mettre en lumière deux nouvelles failles de sécurité découvertes dans Linux : CVE-2025-6018 et CVE-2025-6019. Ces deux vulnérabilités permettent une élévation de privilèges en local (LPE), ouvrant la voie à un attaquant pour obtenir les privilèges root sur Linux.
- CVE-2025-6018
La première vulnérabilité, associée à la référence CVE-2025-6018, affecte la configuration du framework PAM (Pluggable Authentication Modules) en charge de l'authentification sur openSUSE Leap 15 et SUSE Linux Enterprise 15.
Elle permet à un utilisateur local non privilégié, qui peut être connecté via SSH, de s’élever en tant qu'utilisateur avec l'attribut "allow_active" pour exécuter des actions Polkit normalement réservées à un utilisateur physiquement présent. L'attribut "allow_active" fait référence à un paramètre dans la configuration de Polkit.
- CVE-2025-6019
La seconde vulnérabilité, associée à la référence CVE-2025-6019, réside dans libblockdev et permet à un utilisateur "allow_active" d'obtenir les permissions root via le démon udisks. Lors d'une attaque, un pirate peut donc exploiter conjointement ces deux vulnérabilités pour obtenir un accès root sur la machine.
Le service de gestion de stockage udisks est présent par défaut sur la plupart des distributions Linux, ces deux vulnérabilités affectent donc une grande majorité des machines.
"Cette faille dans libblockdev/udisks est extrêmement importante. Bien qu'il nécessite nominalement les privilèges "allow_active", udisks est livré par défaut sur presque toutes les distributions Linux, de sorte que presque tous les systèmes sont vulnérables.", peut-on lire dans le rapport de Qualys.
Des détails techniques et un exploit PoC déjà disponibles
Les chercheurs de Qualys ont d'ores et déjà développé des exploits PoC et ont réussi à obtenir les privilèges root sur des systèmes Ubuntu, Debian, Fedora et openSUSE Leap 15 en exploitant CVE-2025-6019. Des détails techniques sont notamment disponibles sur cette page.
Qualys invite les administrateurs à patcher leurs machines pour se protéger de ces vulnérabilités et de cet exploit qualifié de "local-to-root". Le rapport des chercheurs précise : "Étant donné l'ubiquité d'udisks et la simplicité de l'exploit, les organisations doivent considérer cela comme un risque critique et universel et déployer les correctifs sans délai."
À ce jour, rien n'indique que ces failles de sécurité soient exploitées dans le cadre d'attaques. Voici deux liens utiles pour les utilisateurs de Debian et Ubuntu :
Enfin, rappelons que Qualys est régulièrement à l'origine de la découverte de failles de sécurité dans Linux. Nous pouvons citer des vulnérabilités comme PwnKit dans Polkit et Looney Tunables dans glibc, à titre d'exemple.
