CVE-2025-6019 취약점

공격자는 이제 새로 발견된 두 가지 로컬 권한 상승(LPE) 취약점을 악용하여 널리 사용되는 Linux 배포판을 실행하는 시스템에서 전체 루트 권한을 획득할 수 있습니다. 이러한 취약점을 패치하지 않고 방치하면 기업 환경에 심각한 위험을 초래할 수 있습니다.

CVE-2025-6018: PAM 구성 오류로 인한 위험

CVE-2025-6018로 추적되는 첫 번째 취약점은 PAM(Pluggable Authentication Modules) 프레임워크 구성에 존재합니다. 이 취약점은 openSUSE Leap 15와 SUSE Linux Enterprise 15에 영향을 미칩니다. 이 취약점은 로컬 공격자가 자신의 권한을 특수 사용자 'allow_active' 권한으로 승격할 수 있도록 허용하며, 이는 루트 권한 침해의 필수적인 발판이 됩니다.

CVE-2025-6019: libblockdev + Udisks는 전체 루트와 같음

두 번째 취약점인 CVE-2025-6019는 libblockdev에 존재하며, 대부분의 Linux 시스템에서 기본적으로 실행되는 스토리지 관리 서비스인 udisks 데몬에 영향을 미칩니다. 이 취약점은 'allow_active' 사용자가 루트 권한으로 직접 권한을 상승시킬 수 있도록 합니다. udisks는 널리 배포되어 있고 기본적으로 활성화되어 있기 때문에 거의 모든 Linux 시스템이 위험에 노출되어 있습니다.

익스플로이테이션 체인: 로컬 액세스에서 루트까지 단 몇 초 만에

공격자는 이 두 가지 취약점을 결합하여 '로컬-루트' 체인 익스플로잇을 실행할 수 있습니다. 먼저 PAM 취약점을 악용하여 'allow_active' 상태를 획득한 다음, udisks 취약점을 이용하여 전체 루트 권한을 획득합니다. 이러한 조합은 침입 장벽을 크게 낮춰 SUSE 시스템을 거의 즉시 장악할 수 있도록 합니다.

크로스 디스트로 위험: SUSE만의 문제가 아닙니다

SUSE 시스템에서 발견되었지만, 연구진은 CVE-2025-6019가 우분투, 데비안, 페도라를 포함한 다른 주요 배포판에도 영향을 미친다는 것을 입증했습니다. 개념 증명(PoC) 익스플로잇을 사용하여 이러한 플랫폼에서 루트 권한으로 성공적으로 확장함으로써 공격의 광범위한 적용 가능성을 확인했습니다.

루트 액세스: 더 깊은 위협으로 가는 관문

루트 권한을 얻는 것은 최악의 시나리오입니다. 에이전트 변조, 지속성 메커니즘, 그리고 네트워크 간 수평 이동이 가능해지기 때문입니다. 패치되지 않은 머신 하나가 전체 서버군의 보안을 위협할 수 있습니다.

신속한 조치: 보편적 위험은 즉각적인 패치를 요구합니다

udisks의 보편성과 악용 체인의 용이성을 고려할 때, 조직은 이를 심각한 취약점으로 간주해야 합니다. 루트 공격으로 이어지는 이러한 경로를 차단하려면 PAM 구성과 libblockdev/udisks 취약점을 모두 즉시 패치하는 것이 필수적입니다.

지속적인 Linux 위협 패턴

이러한 LPE 취약점은 증가하는 Linux 보안 위협 추세의 일부입니다. 최근 발견된 다른 주요 취약점은 다음과 같습니다.

• PwnKit(Polkit의 pkexec)
• 루니 튜너블(glibc의 ld.so)
• Sequoia(커널 파일 시스템 계층)
• Baron Samedit(Sudo 권한 상승)

루니 튜너블(Looney Tunables)의 경우, PoC 코드가 공개된 직후 공개되었습니다. 한 달 만에 Kinsing 맬웨어를 사용하여 클라우드 서비스 제공업체(CSP)의 자격 증명을 훔치는 실제 공격이 발생했습니다.

결론: 지금 Linux 인프라를 보호하세요

CVE-2025-6018과 CVE-2025-6019의 발견은 지속적인 패치 관리와 선제적 모니터링의 시급성을 더욱 강조합니다. 이러한 취약점은 배포 전반에 걸쳐 심각한 위험을 초래하며, 근본적인 침해를 방지하기 위해 즉시 해결되어야 합니다.