SUSE系Linuxに深刻な脆弱性 ほぼ全てのディストリビューションに影響か：セキュリティニュースアラート

QualysはSUSE系Linuxにおける深刻な脆弱性を公表した。PAMなどの不備によりroot権限の取得が可能とされている。ほぼ全てのLinuxディストリビューションに影響するとされており、早急な対策が求められている。

[後藤大地，有限会社オングス]

　Qualysの脅威研究部門「Threat Research Unit」（TRU）は2025年6月18日（現地時間）、「SUSE Linux Enterprise 15」および「openSUSE Leap 15」に関する2件の連鎖的なローカル特権昇格（LPE）脆弱（ぜいじゃく）性を発見し、詳細を公表した。

　これらの脆弱性はCVE-2025-6018およびCVE-2025-6019としてそれぞれ識別されており、悪用することでローカルユーザーがroot権限を獲得できる可能性がある。

ほぼ全ての主要なLinuxディストリビューションに影響　脆弱性の詳細は

　報告されている脆弱性は次の通り。

• CVE-2025-6018：　openSUSE Leap 15およびSUSE Linux Enterprise 15のPAM（Pluggable Authentication Modules）構成に存在する脆弱性。ローカルまたはSSH経由のユーザーが「allow_active」ユーザーに昇格できる状態となっていた。「allow_active」は通常、物理的に端末の前にいるユーザーに限定して与えられる特権だが、この設定ミスにより、リモートログインでもその資格を得ることが可能となっていた
• CVE-2025-6019：　多くの「Linux」ディストリビューションで標準的にインストールされている「udisks」サービスおよびその内部で使用される「libblockdev」ライブラリに関する脆弱性。「allow_active」の資格を持つユーザーが、udisks経由でlibblockdevにアクセスすることでroot権限を得られる

　TRUは、これらの脆弱性がほぼ全ての主要Linuxディストリビューションに影響を及ぼす点を問題視している。udisksは初期状態でインストールされており、libblockdevの問題はその仕組みを通じて容易に悪用される。CVE-2025-6018によって前提条件となる「allow_active」状態を獲得できるため、これらを連鎖的に使うことでローカルアクセス権を持つ任意のユーザーが容易にroot権限を取得できる可能性がある。

　Qualys TRUはこれらの脆弱性についてのPoC（概念実証）コードを開発し、「Ubuntu」「Debian」「Fedora」、openSUSE Leap 15などの複数環境での再現に成功している。この実証は、libblockdevとudisksが連携する仕組みの中で脆弱性がいかに効果的に機能するかを示すものであり、脅威の現実性を裏付ける重要な情報となっている。libblockdevは低レベルのブロックデバイス操作を担うライブラリーであり、udisksはこれをD-Bus経由で利用可能にするサーバとして機能する。

　この連鎖的なLPEはSSH経由でのリモート接続ユーザーでも標準パッケージの設定だけでroot権限に至ることが可能となるため、EDR（Endpoint Detection and Response）製品の無効化、再起動に耐えるバックドアの設置、横展開のための改ざん行為などを短時間で実行できる状況となる。

　脆弱性への対応としてpolkitルールの見直しを提案している。「org.freedesktop.udisks2.modify-device」という権限に関して、allow_activeによる自動承認をやめ、管理者の明示的な認証を要求する設定に変更するよう推奨している。ただし、ディストリビューションごとのセキュリティアドバイザリーを参照しつつ、早急なパッチの適用と構成変更が求められる。

　今回の問題は、標準構成で稼働しているサーバ群においても容易にroot取得が可能なことを示しており、Linux環境における根本的な信頼モデルの見直しが必要なことを示唆している。PAM構成とudisks/libblockdevの両方に対しパッチを適用し、システム全体の安全性を維持することが望まれる。