Linux-PAM: PoC pubblico per CVE-2025-8941, privilege escalation locale via symlink/race condition nella pam_namespace
Un Proof of Concept (PoC) pubblico per la vulnerabilità CVE-2025-8941 è stato rilasciato dal 19 ottobre 2025, con conseguente elevato rischio per sistemi Linux che utilizzano il modulo pam_namespace (Linux-PAM).
La falla (CVSS 7.8, "high") è dovuta a un’errata gestione dei percorsi controllabili dall’utente durante la creazione degli spazi di sessione: permette ad attaccanti locali con bassi privilegi di sfruttare un attacco combinato di symlink e race condition per scalare rapidamente ai privilegi di root – incluso su server multiutente, ambienti CI/CD e qualsiasi posto dove utenti (anche compromessi) abbiano shell locale.
Come funziona l’exploit:
- L’attaccante controlla una directory in cui pam_namespace sta per creare una sessione di spazio utente.
- Tramite un collegamento simbolico (symlink) e un’attenta tempistica (race condition), è possibile deviare la scrittura del modulo PAM verso directory protette (ad es. /root).
- Ciò consente di manipolare permessi, sovrascrivere binari o iniettare payload per ottenere root in modo affidabile.
Impatto e diffusione:
- Impatto: privilege escalation locale → root (compromissione totale del sistema)
- Tutte le distribuzioni Linux che utilizzano Linux-PAM con pam_namespace abilitato sono vulnerabili (Red Hat, Ubuntu, Debian, ecc.).
- Nessuna patch stabile ancora disponibile (Stato ottobre 2025: fix deferred su molte distribuzioni).
Azioni consigliate:
- Disabilitare immediatamente il modulo pam_namespace e relativi servizi (/etc/security/namespace.conf).
- Monitorare gli accessi e le attività di utenti non privilegiati fino al rilascio di una patch sicura.
- Limitare l’accesso shell locale, in particolare su sistemi condivisi.
- Applicare il fix ufficiale non appena disponibile dalle rispettive distribuzioni.
- Ispezionare i log per attività anomale in fase di login/creazione sessione.
Conclusione:
Visto l’aumentato rischio dovuto alla diffusione del PoC e l’assenza di patch, la temporanea disabilitazione di pam_namespace è la misura più efficace per prevenire compromissioni di sistema.