פגיעות CVE-2025-6019

תוקפים יכולים כעת לנצל שתי פגיעויות חדשות של הסלמת הרשאות מקומיות (LPE) כדי לקבל גישת root מלאה במערכות המריצות הפצות לינוקס פופולריות. פגמים אלה, אם לא יתוקנו, מהווים סיכון חמור לסביבות ארגוניות.

CVE-2025-6018: תצורה שגויה של PAM פותחת את הדלת

הפגיעות הראשונה, שסומנה כ-CVE-2025-6018, טמונה בתצורה של מסגרת מודולי האימות הניתנים לחיבור (PAM). היא משפיעה על openSUSE Leap 15 ו-SUSE Linux Enterprise 15. פגם זה מאפשר לתוקפים מקומיים להעלות את הרשאותיהם לאלו של המשתמש המיוחד 'allow_active' - אבן דרך חיונית לפריצה לשרת root.

CVE-2025-6019: libblockdev + Udisks שווה ל-root מלא

הפגם השני, CVE-2025-6019, טמון ב-libblockdev ומשפיע על הדמון udisks, שירות ניהול אחסון שפועל כברירת מחדל ברוב מערכות לינוקס. פגיעות זו מאפשרת למשתמש 'allow_active' להעלות הרשאות ישירות ל-root. מכיוון ש-udisks נפרס באופן נרחב ופעיל כברירת מחדל, כמעט כל מערכת לינוקס נמצאת בסיכון.

שרשרת ניצול: מגישה מקומית ל-root תוך שניות

תוקפים יכולים לשלב את שתי הפגיעויות הללו לניצול שרשרת של 'local-to-root'. ראשית, הם מנצלים לרעה את פגם ה-PAM כדי להשיג גישת 'allow_active', ולאחר מכן ממנפים את פגם ה-udisks כדי לקבל גישת root מלאה. שילוב זה מוריד משמעותית את המחסום לפריצה, ומאפשר להשתלט על מערכות SUSE כמעט באופן מיידי.

סיכון בין הפצות: לא רק בעיה של SUSE

למרות שהתגלה במערכות SUSE, החוקרים הדגימו ש-CVE-2025-6019 משפיע גם על הפצות גדולות אחרות, כולל אובונטו, דביאן ופדורה. באמצעות פרצות הוכחת היתכנות (PoC), הם הצליחו להסלים את ההתקפה להרשאות root בפלטפורמות אלו, מה שאישר את הישימות הרחבה של המתקפה.

גישת רוט: שער לאיומים עמוקים יותר

השגת הרשאות root היא התרחיש הגרוע ביותר: היא מאפשרת פגיעה בסוכנים, מנגנוני שמירה על תקינות ותנועה רוחבית בין רשתות. מכונה אחת שלא עברה תיקון עלולה לסכן את אבטחת צי השרתים כולו.

פעלו מהר: סיכון אוניברסלי דורש תיקון מיידי

בהתחשב בנוכחותם של udisks ובקלות שבה שרשרת הניצול פועלת, ארגונים חייבים להתייחס לכך כאל פגיעות קריטית. תיקון מיידי של תצורת PAM ושל הפגם libblockdev/udisks חיוני כדי לחסל את הנתיב הזה לפגיעה בשרת הבסיס.

דפוס של איומי לינוקס מתמשכים

פגמי LPE אלו הם חלק ממגמה הולכת וגוברת באיומי אבטחה בלינוקס. פגיעויות מתוקשרות נוספות שנחשפו לאחרונה כוללות:

• PwnKit (הפקק-ההפקק של פולקיט)
• לוני טיונבלס (glibc's ld.so)
• סקויה (שכבת מערכת הקבצים של הליבה)
• הברון סמדיט (הסלמה של זכויות סודו)

במקרה של Looney Tunables, קוד ה-PoC שוחרר זמן קצר לאחר החשיפה. תוך חודש, צצו מתקפות בעולם האמיתי תוך שימוש בתוכנה זדונית של Kinsing כדי לגנוב פרטי גישה של ספק שירותי ענן (CSP).

סיכום: אבטחו את תשתית הלינוקס שלכם עכשיו

גילוי CVE-2025-6018 ו-CVE-2025-6019 מחזק את הצורך הדחוף בניהול רציף של תיקונים ובניטור פרואקטיבי. פגיעויות אלו מייצגות סיכון קריטי, חוצה הפצה, ויש לטפל בהן באופן מיידי כדי למנוע פגיעה ברמת הבסיס.