Sicherheitsexperten der Qualys Threat Research Unit haben zwei schwerwiegende Zero-Day-Schwachstellen in weit verbreiteten Linux-Distributionen identifiziert. Die Kombination beider Sicherheitslücken ermöglicht es Angreifern, mit minimalen technischen Kenntnissen vollständige Administratorrechte auf betroffenen Systemen zu erlangen. Diese Entdeckung stellt eine erhebliche Bedrohung für Unternehmensinfrastrukturen dar, da Millionen von Linux-Servern weltweit betroffen sein könnten.
Detailanalyse der entdeckten Schwachstellen
Die erste Sicherheitslücke CVE-2025-6018 betrifft die Konfiguration des PAM-Systems (Pluggable Authentication Modules) in openSUSE Leap 15 und SUSE Linux Enterprise 15. Diese Schwachstelle ermöglicht lokalen Angreifern eine Privilegieneskalation bis zur Berechtigung „allow_active“. PAM fungiert als zentrale Authentifizierungsschicht in Linux-Systemen und verwaltet Benutzeranmeldungen sowie Zugriffsrechte.
Die zweite kritische Schwachstelle CVE-2025-6019 liegt in der libblockdev-Bibliothek und nutzt Schwächen im udisks-Daemon aus. Dieser Dienst ist standardmäßig in nahezu allen modernen Linux-Distributionen installiert und verwaltet Speichergeräte wie USB-Sticks, externe Festplatten und andere Datenträger. Die weite Verbreitung von udisks macht diese Schwachstelle besonders gefährlich.
Betroffene Systeme und Angriffsvektoren
Die Qualys-Forscher demonstrierten erfolgreich funktionierende Proof-of-Concept-Exploits auf Ubuntu, Debian, Fedora und openSUSE Leap 15. Diese Tests bestätigen, dass die Schwachstellen in produktiven Umgebungen aktiv ausnutzbar sind. Besonders besorgniserregend ist, dass CVE-2025-6019 auch als eigenständige Bedrohung kritische Auswirkungen haben kann.
Die Universalität von udisks in der Linux-Ökosystem bedeutet, dass praktisch jede Standard-Linux-Installation als potenziales Angriffsziel betrachtet werden muss. Systemadministratoren sollten davon ausgehen, dass ihre Infrastruktur gefährdet ist, bis entsprechende Sicherheitspatches implementiert wurden.
Exploit-Kette für vollständige Systemkompromittierung
Die Kombination beider Schwachstellen schafft eine effektive „Local-to-Root“-Angriffskette. Angreifer mit bereits vorhandenem Benutzerzugang können binnen Sekunden vollständige Administratorrechte erlangen. Diese Art der Privilegieneskalation erfordert keine fortgeschrittenen Hacking-Kenntnisse und kann durch automatisierte Tools durchgeführt werden.
Besonders kritisch ist die Tatsache, dass viele Unternehmen Mitarbeiter-Laptops und Workstations mit Standard-Linux-Konfigurationen betreiben. Ein kompromittierter Benutzeraccount könnte somit sofort zur vollständigen Systemkontrolle führen, ohne dass herkömmliche Sicherheitsmaßnahmen greifen.
Sofortmaßnahmen und Schutzstrategien
Cybersecurity-Experten stufen diese Schwachstellen als kritisches und anhaltendes Risiko ein, das umgehende Gegenmaßnahmen erfordert. Organisationen sollten folgende Schritte priorisieren: Sofortige Implementierung verfügbarer Sicherheitspatches, verstärkte Überwachung von Privilegieneskalationsversuchen und Überprüfung der PAM-Konfigurationen auf allen Linux-Systemen.
Zusätzlich empfiehlt sich die Implementierung von Endpoint Detection and Response (EDR) Lösungen, die verdächtige Aktivitäten im Zusammenhang mit udisks und PAM-Modulen erkennen können. Detaillierte technische Informationen stehen im offiziellen Qualys Security Advisory zur Verfügung.
Erweiterte Bedrohungslage für Linux-Umgebungen
Parallel zu diesen Neuentdeckungen hat die US-amerikanische CISA (Cybersecurity and Infrastructure Security Agency) aktive Ausnutzung der bereits bekannten Schwachstelle CVE-2023-0386 im OverlayFS-Subsystem des Linux-Kernels dokumentiert. Dies unterstreicht den zunehmenden Fokus von Cyberkriminellen auf Linux-Plattformen.
Die Häufung kritischer Linux-Schwachstellen in kurzer Zeit deutet auf eine systematische Zielausrichtung von Angreifergruppen hin. Unternehmen müssen ihre Linux-Sicherheitsstrategien überdenken und proaktive Verteidigungsmaßnahmen implementieren. Regelmäßige Sicherheitsaudits, automatisierte Patch-Management-Systeme und kontinuierliche Überwachung von Systemaktivitäten sind essentiell, um zukünftige Kompromittierungen zu verhindern und die Integrität kritischer Infrastrukturen zu gewährleisten.
