CVE-2025-6019-sårbarhet
Angripere kan nå utnytte to nylig oppdagede sårbarheter for lokal privilegieeskalering (LPE) for å få full root-tilgang på systemer som kjører populære Linux-distribusjoner. Disse feilene, hvis de ikke blir oppdatert, utgjør en alvorlig risiko for bedriftsmiljøer.
Innholdsfortegnelse
CVE-2025-6018: Feilkonfigurasjon av PAM åpner døren
Den første sårbarheten, sporet som CVE-2025-6018, ligger i konfigurasjonen av Pluggable Authentication Modules (PAM)-rammeverket. Den påvirker openSUSE Leap 15 og SUSE Linux Enterprise 15. Denne feilen lar lokale angripere eskalere rettighetene sine til den spesielle «allow_active»-brukeren – et viktig springbrett for et root-kompromittering.
CVE-2025-6019: libblockdev + Udisks tilsvarer full rot
Den andre feilen, CVE-2025-6019, ligger i libblockdev og påvirker udisks-daemonen, en lagringsadministrasjonstjeneste som kjører som standard på de fleste Linux-systemer. Denne sårbarheten lar en 'allow_active'-bruker heve rettigheter direkte til root. Fordi udisks er bredt distribuert og aktiv som standard, er nesten alle Linux-systemer i faresonen.
Utnyttelseskjede: Fra lokal tilgang til rot på sekunder
Angripere kan kombinere disse to sårbarhetene til et «lokal-til-root»-kjedeutnyttelse. Først misbruker de PAM-feilen for å oppnå statusen «allow_active», og deretter utnytter de udisks-feilen for å få full root-tilgang. Denne kombinasjonen reduserer barrieren for kompromittering betydelig, og gjør det mulig å overta SUSE-systemer nesten umiddelbart.
Kryssdistrorisiko: Ikke bare et SUSE-problem
Selv om det ble oppdaget i SUSE-systemer, viste forskerne at CVE-2025-6019 også påvirker andre store distribusjoner, inkludert Ubuntu, Debian og Fedora. Ved hjelp av proof-of-concept (PoC)-angrep klarte de å eskalere til root-rettigheter på disse plattformene, noe som bekreftet angrepets brede anvendelighet.
Root-tilgang: En inngangsport til dypere trusler
Å få root-rettigheter er et verst tenkelig scenario: det tillater agentmanipulering, persistensmekanismer og lateral bevegelse på tvers av nettverk. Én uoppdatert maskin kan sette sikkerheten til en hel serverflåte i fare.
Handle raskt: Universell risiko krever umiddelbar oppdatering
Gitt hvor utbredt udisker er og hvor enkelt utnyttelseskjeden fungerer, må organisasjoner behandle dette som en kritisk sårbarhet. Umiddelbar oppdatering av både PAM-konfigurasjonen og libblockdev/udisks-feilen er avgjørende for å eliminere denne veien til root-kompromittering.
Et mønster av vedvarende Linux-trusler
Disse LPE-feilene er en del av en økende trend innen Linux-sikkerhetstrusler. Andre nylige høyprofilerte sårbarheter inkluderer:
- PwnKit (Polkits pkexec)
- Looney Tunables (glibc's ld.so)
- Sequoia (Kjernefilsystemlag)
- Baron Samedit (eskalering av Sudo-privilegier)
I tilfellet med Looney Tunables ble PoC-koden utgitt kort tid etter avsløringen. Innen en måned dukket det opp reelle angrep som brukte Kinsing-skadevare for å stjele påloggingsinformasjon fra skytjenesteleverandører (CSP).
Konklusjon: Sikre Linux-infrastrukturen din nå
Oppdagelsen av CVE-2025-6018 og CVE-2025-6019 forsterker det presserende behovet for kontinuerlig patchhåndtering og proaktiv overvåking. Disse sårbarhetene representerer en kritisk risiko på tvers av distribusjon, og må tas tak i umiddelbart for å forhindre kompromittering på rotnivå.
