Redazione RHC : 8 julio 2025 09:16
Se ha desarrollado un exploit de prueba de concepto (PoC) para una vulnerabilidad crítica que permite la escalada de privilegios locales y que afecta a varias distribuciones importantes de Linux, como Fedora y SUSE. La vulnerabilidad, identificada como CVE-2025-6019, permite a usuarios sin privilegios obtener acceso root mediante la explotación del demonio udisksd y su biblioteca de backend libblockdev, lo que supone un riesgo de seguridad significativo para sistemas multiusuario y entornos compartidos.
Esta vulnerabilidad explota una vulnerabilidad fundamental en la forma en que el demonio udisksd procesa las solicitudes de comunicación D-Bus de los usuarios del grupo allow_active. Cuando los sistemas correctamente configurados reciben operaciones de disco mediante llamadas D-Bus, el demonio asume erróneamente que la pertenencia a un grupo por sí sola proporciona permisos suficientes para operaciones sensibles.
Recuerde que el demonio udisksd es un componente del sistema en Linux responsable de la gestión de dispositivos de almacenamiento (discos duros, SSD, memorias USB, CD/DVD, etc.). Esta prueba de concepto (PoC) permite a los atacantes eludir los controles de seguridad esperados y realizar operaciones privilegiadas con permisos root.
El vector de ataque se centra en la gestión inadecuada de la autoridad del usuario durante las comunicaciones entre procesos a través de D-Bus. Investigadores de seguridad han descubierto que el demonio udisksd no valida correctamente el contexto del usuario que lo invoca, sino que se basa únicamente en comprobaciones de privilegios basadas en grupos. Según el análisis de SecureLayer7, esta falla de diseño crea una ruta explotable donde las llamadas a D-Bus pueden manipularse para activar operaciones privilegiadas no autorizadas. El análisis estático del código fuente de udisks2 y libblockdev reveló varios patrones problemáticos en la ruta de escalada de privilegios. El flujo de ejecución vulnerable sigue el siguiente patrón: udisks_daemon_handle_mount → polkit_check → blkdev_mount.
Esta secuencia permite a usuarios sin privilegios provocar que udisksd realice operaciones de montaje de root, evadiendo eficazmente el modelo de seguridad previsto. El proceso de explotación requiere un nivel mínimo de sofisticación técnica, lo que lo hace especialmente peligroso. Los atacantes solo necesitan ser miembros del grupo allow_active y poder ejecutar comandos udisksctl.
La prueba de concepto demuestra que un comando simple como udisksctl mount -b /dev/loop0 puede provocar operaciones de montaje controladas por root por parte de usuarios no root, lo que podría comprometer todo el sistema. La vulnerabilidad afecta a una amplia gama de distribuciones de Linux que implementan udisks2 y libblockdev en sus entornos de escritorio. Los sistemas Fedora y SUSE son particularmente vulnerables debido a sus configuraciones predeterminadas, que a menudo incluyen usuarios en el grupo allow_active para la funcionalidad de escritorio.
Este problema de seguridad es especialmente preocupante en entornos informáticos compartidos, sistemas multiusuario y cualquier distribución donde la separación de privilegios sea crucial. Los administradores de distribución respondieron con actualizaciones de seguridad que abordan la vulnerabilidad principal mediante varios mecanismos. La solución principal incluye una verificación más estricta basada en UID, en lugar de depender únicamente de la pertenencia a grupos. El código actualizado ahora requiere tanto la pertenencia a grupos como un contexto de UID adecuado antes de permitir operaciones con privilegios.
Los administradores de sistemas deben actualizar inmediatamente los paquetes udisks2 y libblockdev a las versiones correctas. Las organizaciones también deben verificar los permisos basados en grupos e implementar reglas de polkit más estrictas para evitar vulnerabilidades similares.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...