CVE-2025-6018 und CVE-2025-6019 Sicherheitslücken-Ausnutzung: Ketten von lokalen Privilegieneskalations-Schwachstellen ermöglichen Angreifern Root-Zugriff auf den meisten Linux-Distributionen
Der Juni war ein herausfordernder Monat für Cybersicherheitsteams, mit einer Welle von hochwirksamen Schwachstellen, die die Bedrohungslandschaft störten. Nach der Offenlegung einer neu gepatchten XSS Zero-Day-Schwachstelle in Grafana (CVE-2025-4123), die über 46.500 aktive Instanzen betrifft, sind zwei weitere kritische Schwachstellen aufgetaucht, die miteinander verkettet werden können, was das Potenzial für Ausnutzung erheblich erhöht. Angreifer können zwei neu identifizierte lokale Privilegieneskalationen (LPE) Schwachstellen ausnutzen, die als CVE-2025-6018 und CVE-2025-6019 geführt werden, um Root-Rechte auf Systemen zu erlangen, die wichtige Linux-Distributionen ausführen.
Die Ausnutzung von Schwachstellen bleibt ein kritisches Sicherheitsproblem, da die Anzahl der gemeldeten CVEs ständig steigt. Bis Juni 2025 waren über 22.000 Schwachstellen offengelegt worden, was einen Anstieg von 16 % im Vergleich zum gleichen Zeitraum 2024 widerspiegelt und den Druck auf die Verteidiger verstärkt, Schritt zu halten.
Registrieren Sie sich für die SOC Prime Platform , um Zugriff auf den globalen Feed aktiver Bedrohungen zu erhalten, der umsetzbare CTI und kuratierte Erkennungsregeln bietet, um proaktiv gegen aufkommende Bedrohungen zu verteidigen, einschließlich kritischer Zero-Days und bekannter Schwachstellen. Sicherheitsingenieure können eine umfassende Sammlung verifizierter Sigma-Regeln erreichen, die mit „CVE“ markiert sind und von einer vollständigen Produktsuite für KI-gestützte Erkennungstechnik, automatisierte Bedrohungssuche und fortgeschrittene Bedrohungserkennung unterstützt werden.
Alle Erkennungsalgorithmen können automatisch in mehrere SIEM-, EDR- und Data-Lake-Formate konvertiert werden, um die plattformübergreifende Bedrohungserkennung zu erleichtern, und sind mit MITRE ATT&CK® abgebildet, um die Bedrohungsforschung zu vereinfachen. Jede Regel wird auch durch CTI-Links, Angriffstimeline, Audit-Konfigurationen, Triage-Empfehlungen und detailliertere Metadaten angereichert. Klicken Sie auf die Erkennung erkunden -Schaltfläche, um in den relevanten Erkennungs-Stack einzutauchen, der aktuelle und bestehende Schwachstellen filtert, die mit dem „CVE“-Tag gekennzeichnet sind.
Sicherheitsingenieure können auch Uncoder AI nutzen, das als KI-Co-Pilot agiert und Erkennungsingenieure von Anfang bis Ende unterstützt, während es Workflows beschleunigt und die Abdeckung verbessert. Mit Uncoder können Sicherheitsteams IOCs sofort in benutzerdefinierte Jagdanfragen umwandeln, Erkennungscode aus KI-gestützten Livereports erstellen, SOC-Inhalte mithilfe benutzerdefinierter KI-Eingabeaufforderungen generieren, Syntaxvalidierung und Erkennungslogikverfeinerung für bessere Codequalität nutzen, Angriffsflüsse automatisch visualisieren und Sigma-Regeln mit MITRE ATT&CK-(Sub-)Techniken anreichern.
Analyse von CVE-2025-6018 und CVE-2025-6019
Qualys-Forscher haben kürzlich zwei neuartige LPE-Schwachstellen aufgedeckt, die in Kombination verwendet werden können, um Angreifern grünes Licht zu geben, Root-Zugriff auf Systeme zu erhalten, die weit verbreitete Linux-Distributionen verwenden.
Der erste Fehler, CVE-2025-6018, resultiert aus der Fehlkonfiguration von PAM auf openSUSE Leap 15 und SUSE Linux Enterprise 15, die es lokalen Benutzern ermöglicht, Privilegien auf die des Benutzers „allow_active“ zu eskalieren.
Das zweite Problem, CVE-2025-6019, betrifft libblockdev und erlaubt einem „allow_active“-Benutzer, Privilegien durch Ausnutzung des udisks-Daemons, einem Standarddienst für Speichermanagement in den meisten Linux-Umgebungen, auf Root-Niveau zu erhöhen.
Diese modernen Local-to-Root-Exploits beseitigen effektiv die Lücke zwischen einer regulären Benutzersitzung und der vollständigen Systemkontrolle. Durch die Kombination von vertrauenswürdigen Systemkomponenten wie udisks -Loop-Mounts und PAM-/Umgebungsfehlkonfigurationen können Angreifer mit Zugriff auf jede aktive GUI- oder SSH-Sitzung schnell die „allow_active“ Vertrauensgrenze überwinden und innerhalb von Sekunden zu Root-Rechten eskalieren. Forscher betonen, dass obwohl diese Exploits technisch „allow_active“ Berechtigungen erfordern, udisks standardmäßig auf den meisten Linux-Distributionen aktiviert ist, was bedeutet, dass nahezu alle Systeme gefährdet sind. Darüber hinaus schwächen Fehler wie das offengelegte PAM-Problem weitere Barrieren zum Erlangen von „allow_active“-Zugriff.
Sobald Root-Rechte erlangt sind, können Angreifer das System vollständig kontrollieren, Sicherheitskonfigurationen ändern, persistente Hintertüren installieren und die Maschine als Basis für weitere Angriffe nutzen.
Root-Zugriff stellt ein kritisches Risiko dar, da Angreifer EDR-Tools deaktivieren, persistente Hintertüren installieren und Systemeinstellungen verändern können, die Neustarts überstehen. Ein kompromittierter Server kann schnell zu einer Kompromissverletzung der gesamten Umwelt führen, insbesondere wenn Standardpakete ins Visier genommen werden.
Qualys hat PoC-Exploits entwickelt, welche diese Schwachstellen bei mehreren Distributionen validieren, darunter Ubuntu, Debian, Fedora und openSUSE Leap 15.
Als mögliche Schritte zur Minderung der CVE-2025-6018 und CVE-2025-6019, um die Exposition zu minimieren, sollten Benutzer sofort Patches von ihren Linux-Anbietern anwenden. Als vorübergehende Lösung wird empfohlen, die Polkit-Regel für org.freedesktop.udisks2.modify-device anzupassen, um Administratorauthentifizierung zu erfordern (auth_admin).
Durch die Verkettung von CVE-2025-6018 und CVE-2025-6019 kann jeder SSH-Benutzer auf SUSE 15 oder Leap 15 Privilegien von einem normalen Benutzer auf Root erhöhen, indem nur die Standard-PAM- und udisks -Konfigurationen genutzt werden. Dies erhöht das Bedrohungsniveau für globale Organisationen erheblich. Sobald Root-Zugriff erlangt ist, können Angreifer Sicherheitstools deaktivieren, Persistenz aufrechterhalten und seitlich schwenken, wodurch das gesamte Umfeld gefährdet wird, was eine sofortige und proaktive Antwort der Verteidiger erfordert, um potenzielle Verstöße zu verhindern. SOC Prime kuratiert eine vollständige Produktsuite , die von KI, automatisierten Fähigkeiten, Echtzeit-Bedrohungsinformationen unterstützt wird und auf Zero-Trust -Prinzipien basiert, um Organisationen dabei zu unterstützen, Cyberbedrohungen unabhängig von deren Komplexität zu überholen.
