Recientemente se descubrieron dos vulnerabilidades bastante serias que los atacantes pueden usar para escalar privilegios localmente y llegar a tener acceso root en algunas de las distribuciones de Linux más populares.
La primera, identificada como CVE-2025-6018, está relacionada con la forma en que se configura PAM (el sistema que gestiona la autenticación en Linux) en openSUSE Leap 15 y SUSE Linux Enterprise 15. En resumen: si un atacante ya tiene acceso al sistema, puede aprovechar esta falla para hacerse pasar por un usuario especial llamado allow_active, con más permisos de los que debería.
La segunda vulnerabilidad, CVE-2025-6019, afecta a libblockdev, una biblioteca que se usa para manejar discos. En este caso, un usuario con permisos allow_active puede aprovechar el servicio udisks (que viene activado por defecto en muchas distros) para escalar sus permisos hasta convertirse en root.
En ambos casos, se trata de fallas locales, es decir, el atacante ya debe estar en el sistema, pero aun así el riesgo es alto, porque facilita tomar el control total del equipo sin necesidad de técnicas complejas.
Aunque estas dos vulnerabilidades pueden parecer más peligrosas cuando se usan juntas como parte de un ataque encadenado para escalar de usuario local a root, la verdad es que la falla en libblockdev/udisks ya es lo suficientemente grave por sí sola.
Como explica la Unidad de Investigación de Amenazas (TRU) de Qualys:
“Aunque en teoría necesitas permisos 'allow_active' para explotarla, lo cierto es que udisks viene instalado por defecto en casi todas las distribuciones de Linux. Así que prácticamente cualquier sistema podría estar en riesgo”.
Y lo más preocupante es que conseguir esos permisos allow_active tampoco es tan difícil. Una de las técnicas, de hecho, es aprovechar la otra vulnerabilidad (la que afecta a PAM), lo cual elimina por completo esa “barrera de seguridad”.
“Un atacante puede encadenar estas fallas y conseguir acceso root con muy poco esfuerzo”
El equipo de TRU de Qualys, que fue quien descubrió e informó sobre ambos errores, incluso desarrolló pruebas de concepto funcionales. Con ellas lograron obtener acceso root en sistemas Ubuntu, Debian, Fedora y openSUSE Leap 15. Así que no se trata solo de una teoría: ya lo probaron, y funciona.
Podría interesarte leer: Hackers Prueban Ataques ClickFix contra Objetivos en Linux y macOs
Si gestionas servidores Linux, este es el momento de actuar. El equipo de seguridad de Qualys ya publicó todos los detalles técnicos de estas dos nuevas vulnerabilidades (junto con los parches) en una entrada de Openwall, y su mensaje es claro: hay que parchear ya.
"Con acceso root, un atacante puede hacer prácticamente lo que quiera: modificar el sistema, mantenerse oculto y moverse por la red. Si dejas un servidor sin actualizar, estás poniendo en riesgo a toda tu infraestructura”.
La advertencia es contundente: udisks está en casi todos los Linux y el exploit es tan simple que cualquiera podría usarlo. Por eso, las organizaciones deberían tratar esta amenaza como algo serio y urgente. Nada de “lo parcheamos la semana que viene”: hay que cerrar esta brecha ahora.
Ya se han descubierto anteriormente varios fallos críticos en Linux que permiten tomar el control total de un sistema, incluso cuando está recién instalado y funcionando con su configuración predeterminada. Entre las vulnerabilidades identificadas en el pasado se incluyen:
PwnKit, un fallo en el componente pkexec de Polkit.
Looney Tunables, en el cargador dinámico ld.so de glibc.
Sequoia, un fallo en el sistema de archivos del kernel.
Baron Samedit, en la herramienta sudo.
Y no es solo teoría: por ejemplo, tras descubrir Looney Tunables, al poco tiempo ya circulaban exploits de prueba en internet, y apenas un mes después, ya había ataques reales que usaban esa falla para robar credenciales de servicios en la nube usando el malware Kinsing.
Más recientemente, encontraron cinco fallas de escalada de privilegios en needrestart, una utilidad que viene por defecto en versiones de Ubuntu desde la 21.04 en adelante… y que llevaba más de 10 años con esos bugs activos.
Moraleja: si usas Linux en producción, no esperes a que el ataque llegue a ti. Actualiza ya PAM y libblockdev/udisks en todos tus sistemas. Más vale prevenir que ver tu infraestructura comprometida.