Vulnerabilità critica in Linux-PAM: Una nuova Privilege Escalation

Un’identificazione di vulnerabilità di alta gravità è stata attribuita al framework PAM (Pluggable Authentication Modules) con l’identificatore CVE-2025-8941. Questa vulnerabilità ha origine nel cuore dei sistemi operativi Linux e consente agli aggressori con accesso locale di sfruttare attacchi symlink e condizioni di gara per ottenere l’escalation completa dei privilegi di root.

Gli esperti di sicurezza avvertono che questo problema richiede un’attenzione immediata, soprattutto per i server e i desktop che si affidano a Linux-PAM per l’autenticazione degli utenti .

Gli strumenti open source più fidati non sono immuni dai rischi, poiché l’accesso come amministratore (root), che rappresenta il livello massimo di controllo in sistemi simili a Unix, può comportare violazioni dei dati e compromissioni su vasta scala del sistema, sottolineando le minacce insite anche nei più attendibili tra essi.

Emerge che gli utenti con bassi privilegi potrebbero diventare root, generando timori sia per le reti delle aziende che per i dispositivi individuali. Il CVE-2025-8941 ha ottenuto uno score di 7,8 sulla scala CVSS v3.1, a dimostrazione che, anche se si tratta di una privilege escalation, il suo potenziale è devastante.

I sistemi interessati includono tutte le versioni di Linux-PAM precedenti alle patch più recenti, comprese distribuzioni come Ubuntu, Fedora e Red Hat Enterprise Linux. Non è possibile lo sfruttamento remoto, ma il percorso locale amplifica i pericoli nelle configurazioni multiutente.

La vulnerabilità risiede nel modulo pam_namespace, che gestisce gli spazi dei nomi per le sessioni utente. Una gestione errata dei percorsi controllati dall’utente consente ad aggressori astuti di inserire link simbolici che dirottano i processi di creazione delle directory.

Sfruttando una condizione di competizione, l’aggressore inganna il sistema inducendolo a creare strutture sensibili sul file system root. Per comprendere il meccanismo, diamo un’occhiata a un esempio semplificato in pseudocodice:

La migliore difesa è l’applicazione rapida delle patch da parte dei fornitori di distribuzione, prevista a breve per la maggior parte delle varianti Linux. Fino ad allora, gli amministratori dovrebbero verificare i privilegi degli utenti locali, disabilitare le funzionalità pam_namespace non necessarie e monitorare eventuali attività sospette nei link simbolici utilizzando strumenti come auditd.

Sebbene i firewall per applicazioni web (WAF) o i sistemi di rilevamento delle intrusioni (IDS) offrano una protezione parziale contro le minacce correlate, non sono in grado di neutralizzare gli exploit locali che bypassano i livelli di rete. Gli esperti esortano le organizzazioni a dare priorità a questo aspetto nei loro cicli di gestione delle patch per evitare potenziali situazioni caotiche.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Massimiliano Brolli

Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Aree di competenza: Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione