Uma vulnerabilidade de alta severidade no framework Linux Pluggable Authentication Modules, identificada como CVE-2025-8941, permite que atacantes locais obtenham privilégios de root por meio de ataques de links simbólicos e condições de corrida. Pesquisadores de segurança lançaram um exploit de prova de conceito, destacando riscos para sistemas Linux. A falha afeta múltiplas distribuições e requer patches imediatos.
A vulnerabilidade CVE-2025-8941 foi divulgada em 19 de outubro de 2025, visando o módulo pam_namespace no Linux-PAM, que gerencia namespaces para sessões de usuário. Esse problema surge do manuseio inadequado de caminhos controlados pelo usuário, permitindo que atacantes com acesso local e privilégios baixos insiram links simbólicos que sequestram processos de criação de diretórios. Ao explorar uma condição de corrida, os atacantes podem enganar o sistema para construir estruturas sensíveis no sistema de arquivos raiz, levando a uma escalação completa de privilégios de root.
Classificada como 7.8 na escala CVSS v3.1, a vulnerabilidade exige alguma interação do usuário, mas não apresenta risco de exploração remota. Ela afeta todas as versões do Linux-PAM anteriores aos patches mais recentes em distribuições como Ubuntu, Fedora e Red Hat Enterprise Linux. Em ambientes multiusuário, isso poderia permitir que usuários com privilégios baixos se tornem superusuários, potencialmente resultando em comprometimento do sistema e violações de dados.
Especialistas em segurança enfatizam a necessidade de atenção imediata, especialmente para servidores e desktops que dependem do Linux-PAM para autenticação. Um exploit de prova de conceito foi lançado, demonstrando a viabilidade do ataque por meio de scripts sofisticados e sincronização de tempo. Embora ferramentas como firewalls de aplicativos web ou sistemas de detecção de intrusão ofereçam proteção limitada contra ameaças de rede, elas não abordam exploits locais.
Administradores são aconselhados a aplicar patches dos fornecedores de distribuições assim que disponíveis, auditar privilégios de usuários locais, desabilitar recursos desnecessários do pam_namespace e monitorar atividades suspeitas de links simbólicos usando ferramentas como auditd. Essa divulgação ressalta os desafios contínuos na segurança de sistemas de autenticação de código aberto em meio a ameaças em evolução.