Neue Schwachstellen in Linux-Systemen ermöglichen Root-Zugriff – auch ohne besondere Rechte

Die Security-Experten der Qualys Threat Research Unit (TRU) haben eine kritische Schwachstellen-Kombination entdeckt, die in vielen gängigen Linux-Distributionen zu Root-Zugriff führen kann – und das selbst bei Standardkonfigurationen. Ausgangspunkt ist ein Problem in SUSE Linux Enterprise 15 bzw. openSUSE Leap 15, das zusammen mit einer zweiten Lücke praktisch jedem lokalen Nutzer die vollständige Kontrolle über ein System ermöglichen kann.

Was wurde gefunden?

Die TRU hat zwei miteinander verknüpfte Sicherheitslücken identifiziert (CVE-2025-6018 und CVE-2025-6019), die zusammen besonders gefährlich sind:

• CVE-2025-6018 betrifft die Konfiguration von PAM (Pluggable Authentication Modules) in SUSE 15. Hier kann ein Angreifer – etwa über eine einfache SSH-Verbindung – fälschlicherweise als „aktiv“ geltender Nutzer eingestuft werden. Das bedeutet: Das System denkt, der Nutzer sei physisch am Gerät und erlaubt damit Aktionen, die normalerweise Administratoren oder lokal Anwesenden vorbehalten sind.
• CVE-2025-6019 betrifft den weit verbreiteten Dienst udisks, der für die Verwaltung von Datenträgern verantwortlich ist. Über diesen Dienst – genauer gesagt über eine Schwachstelle in der zugrunde liegenden Bibliothek libblockdev – können „aktive“ Nutzer Root-Rechte erlangen.

Für sich genommen ist jede Schwachstelle bereits problematisch, in Kombination aber entsteht ein ernstes Risiko: Ein nicht privilegierter SSH-Nutzer kann sich zum Root-Nutzer hocharbeiten – mit einfach verfügbaren Tools und ohne aufwändige Exploits.

Warum ist das so gefährlich?

Der udisks-Dienst ist auf den meisten Linux-Systemen standardmäßig aktiviert. In Kombination mit der PAM-Fehlkonfiguration kann ein Angreifer innerhalb kürzester Zeit Root-Zugriff erlangen – ohne besondere Vorkenntnisse oder zusätzlichen Code. Es reicht ein normaler Benutzerzugang per SSH. Mit Root-Rechten hat ein Angreifer nahezu freie Hand: Er kann Sicherheitssoftware ausschalten, Hintertüren einbauen oder tiefgreifende Systemänderungen vornehmen, die auch Neustarts überstehen. Damit kann ein einzelner kompromittierter Server zum Einfallstor für weitere Systeme im Netzwerk werden.

Was bedeutet das für Unternehmen?

Diese Schwachstellen zeigen erneut, wie gefährlich sogenannte „local-to-root“-Exploits sein können. Angreifer nutzen bestehende Systemdienste, um sich unbemerkt weiter zu eskalieren. Besonders kritisch ist dabei, dass keine exotischen Tools nötig sind – alles, was sie brauchen, ist meist schon vorinstalliert.

Was ist zu tun?

• Updates einspielen: Für alle betroffenen Distributionen stehen bereits Sicherheitsupdates bereit. Diese sollten schnellstmöglich installiert werden.
• Polkit-Richtlinien anpassen: Die Standardkonfiguration erlaubt es „aktiven“ Nutzern, Änderungen an Speichermedien vorzunehmen. Dies sollte geändert werden, indem für die Aktion org.freedesktop.udisks2.modify-device eine Administratorauthentifizierung (auth_admin) erforderlich wird.
• Systemkonfiguration überprüfen: Insbesondere sollten PAM-Einstellungen kontrolliert werden, um sicherzustellen, dass SSH-Zugänge nicht fälschlich als „aktiv“ gelten.

Fazit

Diese Angriffskette zeigt, wie sich ein vermeintlich harmloser Benutzerzugang zu einer vollständigen Systemübernahme entwickeln kann. Die Kombination aus CVE-2025-6018 und CVE-2025-6019 ist besonders heimtückisch, weil sie auf Standarddiensten basiert, die auf fast allen Linux-Servern aktiv sind. Unternehmen sollten deshalb umgehend reagieren und sowohl ihre Systeme patchen als auch sicherstellen, dass kritische Konfigurationen wie PAM und polkit korrekt eingestellt sind.