Qualys SUSE SLES 15 CVE

Die erste Schwachstelle (CVE-2025-6018) befindet sich in der PAM-Konfiguration von openSUSE Leap 15 und SUSE Linux Enterprise 15. Ein nicht privilegierter lokaler Nutzer, beispielsweise über eine SSH-Verbindung, kann diese Schwachstelle ausnutzen, um sich den Status eines “allow_active”-Nutzers zu verschaffen und anschließend polkit-Aktionen auszuführen, die normalerweise nur physisch anwesenden Nutzern vorbehalten sind.

Die zweite Schwachstelle (CVE-2025-6019) betrifft libblockdev, lässt sich über den udisks-Daemon ausnutzen, der in den meisten Linux-Distributionen standardmäßig enthalten ist, und ermöglicht es einem “allow_active”-Nutzer, vollständige Root-Rechte zu erlangen. Während CVE-2025-6019 für sich allein genommen den vorhandenen “allow_active”-Status voraussetzt, kann durch die Kombination mit CVE-2025-6018 selbst ein vollständig unprivilegierter Angreifer Root-Zugriff erlangen.

Die Schwachstelle in libblockdev/udisks ist von besonderer Relevanz. Zwar erfordert sie nominell den Status “allow_active”, jedoch ist der udisks-Daemon auf nahezu allen Linux-Distributionen standardmäßig installiert, wodurch fast alle Systeme potenziell angreifbar sind. Techniken zur Erlangung des “allow_active”-Status, einschließlich der hier beschriebenen PAM-Schwachstelle, beseitigen diese Hürde faktisch. Ein Angreifer kann beide Schwachstellen kombinieren und mit minimalem Aufwand Root-Zugriff erlangen. Aufgrund der weiten Verbreitung von udisks und der einfachen Ausnutzbarkeit dieser Angriffskette sollten Unternehmen diese Bedrohung als kritisch und universell einstufen und die verfügbaren Sicherheitsupdates umgehend einspielen.

Die Qualys Threat Research Unit (TRU) hat Proof-of-Concept-Exploits entwickelt, um diese Schwachstellen auf verschiedenen Betriebssystemen zu validieren. Dabei konnte die libblockdev/udisks-Schwachstelle erfolgreich auf Ubuntu, Debian, Fedora und openSUSE Leap 15 ausgenutzt werden.

Funktionsweise von PAM und udisks/libblockdev

PAM-Konfiguration in openSUSE/SLE 15: Das Pluggable Authentication Modules (PAM) Framework steuert, wie sich Nutzer auf Linux-Systemen authentifizieren und Sitzungen starten. In openSUSE/SLE 15 ist der PAM-Stack so konfiguriert, dass er bestimmt, welche Nutzer als “aktiv” gelten — also physisch am System anwesend — und damit bestimmte privilegierte Aktionen ausführen dürfen. Eine Fehlkonfiguration kann dazu führen, dass jede lokale Anmeldung, einschließlich über SSH, so behandelt wird, als säße der Nutzer direkt an der Konsole. Dieser “allow_active”-Status erlaubt normalerweise Zugriff auf bestimmte polkit-Operationen, die physisch anwesenden Nutzern vorbehalten sind. Wird dieser Mechanismus falsch angewendet, können nicht privilegierte Nutzer Aktionen ausführen, die ihnen eigentlich nicht gestattet sein sollten.

udisks-Daemon und libblockdev: Der udisks-Dienst läuft standardmäßig auf den meisten Linux-Systemen und bietet über D-Bus eine Schnittstelle zur Speicherverwaltung — darunter das Mounten, Abfragen und Formatieren von Datenträgern. Intern greift udisks auf libblockdev zu, eine Bibliothek zur Verarbeitung von Blockgeräteoperationen auf niedriger Ebene. Eine über udisks erreichbare Schwachstelle in libblockdev ermöglicht es jedem Nutzer mit “allow_active”-Status, direkt Root-Rechte zu erlangen. Da udisks so weit verbreitet ist, ist das Verständnis seiner Funktion und der Abhängigkeit von libblockdev entscheidend. udisks fungiert dabei als Bindeglied zwischen den Sitzungsrechten eines Nutzers und den Verwaltungsfunktionen für Geräte. Eine Schwachstelle an dieser Stelle kann vollständige Systemkontrolle ermöglichen.

Mögliche Auswirkungen

Diese modernen “local-to-root“-Exploits überbrücken die Lücke zwischen einem gewöhnlichen eingeloggten Nutzer und einer vollständigen Systemübernahme. Durch das Verketten legitimer Dienste wie udisks-Loop-Mounts und Besonderheiten in der PAM- und Umgebungs-Konfiguration können Angreifer mit einer aktiven GUI- oder SSH-Sitzung die Vertrauensgrenze von polkit (“allow_active”) überwinden und sich innerhalb von Sekunden Root-Rechte verschaffen. Dafür sind keine exotischen Fähigkeiten notwendig, denn alle verwendeten Komponenten sind in gängigen Linux-Distributionen und deren Server-Varianten vorinstalliert.

Root-Zugriff stellt die schwerwiegendste Art von Schwachstelle dar. Ein Angreifer kann damit unbemerkt EDR-Agenten deaktivieren, Kernel-Backdoors für persistente Codeausführung installieren oder Systemkonfigurationen manipulieren, die Neustarts überdauern. Solche kompromittierten Server können als Ausgangspunkt für laterale Bewegungen im Netzwerk dienen. Exploits, die auf standardmäßig installierte Serverpakete abzielen, können sich von einem einzelnen kompromittierten System auf ganze Flotten ausbreiten. Um dieses Risiko zu verringern, sollten systemweit Updates eingespielt und Sicherheitsmaßnahmen wie polkit-Regeln und Loop-Mount-Policies verschärft werden. Diese breit angelegte Strategie hilft, eine erste Kompromittierung einzudämmen und das gesamte Netzwerk zu schützen.

Absicherung gegen die libblockdev/udisks-Schwachstelle

Die Standard-Polkit-Richtlinie für die Aktion “org.freedesktop.udisks2.modify-device” erlaubt es möglicherweise jedem aktiven Nutzer, Geräte zu verändern. Diese Konfiguration kann ausgenutzt werden, um Sicherheitsmechanismen zu umgehen. Um dies zu verhindern, sollte die Richtlinie so angepasst werden, dass für diese Aktion eine Authentifizierung durch einen Administrator erforderlich ist.

Zur Minderung dieser Schwachstelle sollte die Polkit-Regel für “org.freedesktop.udisks2.modify-device” angepasst werden. Der Wert für “allow_active” sollte von “yes” auf “auth_admin” geändert werden. Darüber hinaus sollten stets verfügbare Sicherheitsupdates priorisiert und die konkreten Empfehlungen der jeweiligen Linux-Distribution beachtet werden.

Fazit

Durch die Kombination von CVE-2025-6018 und CVE-2025-6019 kann sich ein SSH-Nutzer auf SUSE 15/Leap 15 mit Standardkonfiguration von einem normalen Nutzer in einen Root-Nutzer verwandeln. Eine Schwachstelle verschafft den “allow_active”-Status, die andere nutzt diesen Status aus, um vollständige Root-Rechte zu erlangen — und zwar mit vorinstallierten Komponenten. Root-Zugriff erlaubt es, Sicherheitsagenten zu manipulieren, Persistenz herzustellen und sich lateral im Netzwerk zu bewegen. Ein ungepatchter Server kann somit ein Risiko für eine gesamte Infrastruktur darstellen. Sowohl PAM als auch libblockdev/udisks sollten daher auf allen Systemen umgehend aktualisiert werden.

The first vulnerability (CVE-2025-6018) is located in the PAM configuration of openSUSE Leap 15 and SUSE Linux Enterprise 15. An unprivileged local user, for example via an SSH connection, can exploit this vulnerability to obtain the status of an “allow_active” user and then perform polkit actions that are normally reserved for physically present users.

The second vulnerability (CVE-2025-6019) affects libblockdev, can be exploited via the udisks daemon, which is included by default in most Linux distributions, and allows an “allow_active” user to gain full root privileges. While CVE-2025-6019 alone requires the existing “allow_active” status, when combined with CVE-2025-6018, even a completely unprivileged attacker can gain root access.

The vulnerability in libblockdev/udisks is particularly relevant. Although it nominally requires the “allow_active” status, the udisks daemon is installed by default on almost all Linux distributions, making almost all systems potentially vulnerable. Techniques for obtaining the “allow_active” status, including the PAM vulnerability described here, effectively remove this hurdle. An attacker can combine both vulnerabilities and gain root access with minimal effort. Due to the widespread use of udisks and the ease with which this attack chain can be exploited, companies should classify this threat as critical and universal and install the available security updates immediately.

The Qualys Threat Research Unit (TRU) has developed proof-of-concept exploits to validate these vulnerabilities on various operating systems. The libblockdev/udisks vulnerability was successfully exploited on Ubuntu, Debian, Fedora, and openSUSE Leap 15.

How PAM and udisks/libblockdev work

PAM configuration in openSUSE/SLE 15: The Pluggable Authentication Modules (PAM) framework controls how users authenticate and start sessions on Linux systems. In openSUSE/SLE 15, the PAM stack is configured to determine which users are considered “active” — i.e., physically present at the system — and thus allowed to perform certain privileged actions. A misconfiguration can result in every local login, including via SSH, being treated as if the user were sitting directly at the console. This “allow_active” status normally allows access to certain polkit operations that are reserved for physically present users. If this mechanism is misused, unprivileged users can perform actions that they should not be allowed to perform.

udisks daemon and libblockdev: The udisks service runs by default on most Linux systems and provides an interface for storage management via D-Bus — including mounting, querying, and formatting data carriers. Internally, udisks accesses libblockdev, a library for processing low-level block device operations. A vulnerability in libblockdev accessible via udisks allows any user with “allow_active” status to gain root privileges directly. Since udisks is so widely used, understanding its function and dependence on libblockdev is crucial. udisks acts as a link between a user’s session privileges and device management functions. A vulnerability at this point can enable complete system control.

Potential impact

These modern “local-to-root” exploits bridge the gap between a normal logged-in user and complete system takeover. By chaining legitimate services such as udisks loop mounts and peculiarities in the PAM and environment configuration, attackers with an active GUI or SSH session can bypass polkit’s trust boundary (“allow_active”) and gain root privileges within seconds. No exotic skills are required to do this, as all the components used are pre-installed in common Linux distributions and their server variants.

Root access is the most serious type of vulnerability. An attacker can use it to silently disable EDR agents, install kernel backdoors for persistent code execution, or manipulate system configurations that survive reboots. Such compromised servers can serve as a starting point for lateral movement within the network. Exploits targeting default server packages can spread from a single compromised system to entire fleets. To mitigate this risk, system-wide updates should be applied and security measures such as polkit rules and loop mount policies should be tightened. This broad strategy helps contain initial compromise and protect the entire network.

Protection against the libblockdev/udisks vulnerability

The default polkit policy for the “org.freedesktop.udisks2.modify-device” action may allow any active user to modify devices. This configuration can be exploited to bypass security mechanisms. To prevent this, the policy should be adjusted so that authentication by an administrator is required for this action.

To mitigate this vulnerability, the Polkit rule for “org.freedesktop.udisks2.modify-device” should be adjusted. The value for “allow_active” should be changed from ‘yes’ to “auth_admin”. In addition, security updates that are always available should be prioritized and the specific recommendations of the respective Linux distribution should be followed.

Conclusion

By combining CVE-2025-6018 and CVE-2025-6019, an SSH user on SUSE 15/Leap 15 with standard configuration can transform from a normal user to a root user. One vulnerability grants the “allow_active” status, while the other exploits this status to gain full root privileges — using pre-installed components. Root access allows security agents to be manipulated, persistence to be established, and lateral movement within the network. An unpatched server can therefore pose a risk to an entire infrastructure. Both PAM and libblockdev/udisks should therefore be updated immediately on all systems.