CVE-2025-6019 Güvenlik Açığı
Saldırganlar artık popüler Linux dağıtımlarını çalıştıran sistemlerde tam kök erişimi elde etmek için yeni keşfedilen iki yerel ayrıcalık yükseltme (LPE) güvenlik açığından yararlanabilir. Bu kusurlar, yama yapılmadan bırakılırsa, kurumsal ortamlar için ciddi bir risk oluşturur.
İçindekiler
CVE-2025-6018: PAM Yanlış Yapılandırması Kapıyı Açıyor
CVE-2025-6018 olarak izlenen ilk güvenlik açığı, Pluggable Authentication Modules (PAM) çerçevesinin yapılandırmasında yer alır. openSUSE Leap 15 ve SUSE Linux Enterprise 15'i etkiler. Bu kusur, yerel saldırganların ayrıcalıklarını özel 'allow_active' kullanıcısının ayrıcalıklarına yükseltmelerine olanak tanır; bu, kök erişimi için olmazsa olmaz bir basamaktır.
CVE-2025-6019: libblockdev + Udisks Eşittir Tam Kök
İkinci kusur, CVE-2025-6019, libblockdev'de yer alır ve çoğu Linux sisteminde varsayılan olarak çalışan bir depolama yönetim hizmeti olan udisks daemon'ını etkiler. Bu güvenlik açığı, 'allow_active' kullanıcısının ayrıcalıkları doğrudan root'a yükseltmesine olanak tanır. Udisks yaygın olarak dağıtıldığı ve varsayılan olarak etkin olduğu için, hemen hemen her Linux sistemi risk altındadır.
Sömürü Zinciri: Yerel Erişimden Kök Erişime Saniyeler İçinde
Saldırganlar bu iki güvenlik açığını bir 'yerelden köke' zincir istismarına birleştirebilir. İlk olarak, 'allow_active' statüsünü elde etmek için PAM açığını kötüye kullanırlar, ardından tam kök erişimi elde etmek için udisks açığından yararlanırlar. Bu kombinasyon, tehlikeye atılma engelini önemli ölçüde düşürerek SUSE sistemlerini neredeyse anında ele geçirmeyi mümkün kılar.
Dağıtımlar Arası Risk: Sadece Bir SUSE Sorunu Değil
SUSE sistemlerinde keşfedilmesine rağmen, araştırmacılar CVE-2025-6019'un Ubuntu, Debian ve Fedora dahil olmak üzere diğer büyük dağıtımları da etkilediğini gösterdi. Kavram kanıtı (PoC) istismarlarını kullanarak, bu platformlarda kök ayrıcalıklarına başarıyla ulaştılar ve saldırının geniş uygulanabilirliğini doğruladılar.
Kök Erişimi: Daha Derin Tehditlere Açılan Bir Kapı
Kök ayrıcalıkları elde etmek en kötü senaryodur: aracı kurcalamaya, kalıcılık mekanizmalarına ve ağlar arasında yanal harekete izin verir. Yama uygulanmamış bir makine tüm sunucu filosunun güvenliğini tehlikeye atabilir.
Hızlı Hareket Edin: Evrensel Risk Hemen Düzeltme Gerektiriyor
Udisk'lerin her yerde bulunması ve exploit zincirinin çalışma kolaylığı göz önüne alındığında, kuruluşlar bunu kritik bir güvenlik açığı olarak ele almalıdır. Bu kök tehlikeye giden yolu ortadan kaldırmak için hem PAM yapılandırmasının hem de libblockdev/udisks kusurunun derhal yamalanması önemlidir.
Kalıcı Linux Tehditlerinin Bir Örneği
Bu LPE kusurları, Linux güvenlik tehditlerindeki büyüyen bir eğilimin parçasıdır. Diğer son zamanlardaki yüksek profilli güvenlik açıkları şunlardır:
- PwnKit (Polkit'in pkexec'i)
- Looney Tunables (glibc'nin ld.so'su)
- Sequoia (Çekirdek dosya sistemi katmanı)
- Baron Samedit (Sudo ayrıcalığının artırılması)
Looney Tunables durumunda, PoC kodu ifşadan kısa bir süre sonra yayınlandı. Bir ay içinde, bulut hizmeti sağlayıcısı (CSP) kimlik bilgilerini çalmak için Kinsing kötü amaçlı yazılımını kullanan gerçek dünya saldırıları ortaya çıktı.
Sonuç: Linux Altyapınızı Şimdi Güvence Altına Alın
CVE-2025-6018 ve CVE-2025-6019'un keşfi, sürekli yama yönetimi ve proaktif izleme için acil ihtiyacı güçlendiriyor. Bu güvenlik açıkları kritik, çapraz dağıtım riski temsil ediyor ve kök düzeyde tehlikeye atılmayı önlemek için derhal ele alınmaları gerekiyor.
