Explotación de Vulnerabilidades CVE-2025-6018 y CVE-2025-6019: La Cadena de Fallas de Escalada de Privilegios Locales Permite a los Atacantes Obtener Acceso Root en la Mayoría de las Distribuciones de Linux
Junio ha sido un mes desafiante para los equipos de ciberseguridad, con una ola de vulnerabilidades de alto impacto que han alterado el panorama de amenazas. Tras la divulgación de un nuevo día cero XSS corregido en Grafana (CVE-2025-4123), que afecta a más de 46,500 instancias activas, han surgido otros dos fallos críticos que pueden encadenarse, aumentando significativamente el potencial de explotación. Los adversarios pueden armar dos vulnerabilidades de escalada de privilegios (LPE) recientemente identificadas, rastreadas como CVE-2025-6018 y CVE-2025-6019, para obtener privilegios a nivel de root en sistemas que ejecutan distribuciones principales de Linux.
La explotación de vulnerabilidades sigue siendo una preocupación crítica de seguridad a medida que el número de CVEs reportados sigue aumentando. Para junio de 2025, se habían divulgado más de 22,000 vulnerabilidades, lo que refleja un aumento del 16% respecto al mismo periodo en 2024 y subraya la creciente presión sobre los defensores para mantenerse al día.
Regístrese en la Plataforma SOC Prime para acceder al feed global de amenazas activas, proporcionando reglas de detección CTI curadas y accionables para defenderse proactivamente contra amenazas emergentes, incluidos días cero críticos y vulnerabilidades conocidas. Los ingenieros de seguridad pueden acceder a una colección completa de reglas Sigma verificadas etiquetadas por “CVE”, impulsadas por una suite de productos completos para la ingeniería de detección impulsada por inteligencia artificial, caza de amenazas automatizada y detección avanzada de amenazas.
Todos los algoritmos de detección se pueden convertir automáticamente en múltiples formatos SIEM, EDR y Data Lake para facilitar la detección de amenazas multiplataforma y están mapeados a MITRE ATT&CK® para agilizar la investigación de amenazas. Cada regla también está enriquecida con enlaces CTI, líneas de tiempo de ataques, configuraciones de auditoría, recomendaciones de triaje y metadatos más detallados. Haga clic en el botón Explorar Detecciones para profundizar en la pila de detección relevante que aborda vulnerabilidades actuales y existentes filtradas por la etiqueta “CVE”.
Los ingenieros de seguridad también pueden aprovechar Uncoder AI, que actúa como un copiloto de AI, apoyando a los ingenieros de detección de principio a fin mientras acelera los flujos de trabajo y mejora la cobertura. Con Uncoder, los equipos de seguridad pueden convertir instantáneamente los IOC en consultas de búsqueda personalizadas, crear código de detección a partir de informes de amenazas en vivo respaldados por AI, generar contenido SOC con solicitudes personalizadas de AI, emplear validación de sintaxis y refinamiento de lógica de detección para una mejor calidad de código, visualizar automáticamente flujos de ataques y enriquecer las reglas Sigma con técnicas (sub-) de MITRE ATT&CK.
Análisis de CVE-2025-6018 y CVE-2025-6019
Investigadores de Qualys han descubierto recientemente dos vulnerabilidades LPE novedosas que pueden utilizarse en conjunto para dar luz verde a los atacantes para obtener acceso root en sistemas que utilizan distribuciones de Linux ampliamente adoptadas.
El primer fallo, CVE-2025-6018, se origina en la mala configuración de PAM en openSUSE Leap 15 y SUSE Linux Enterprise 15, lo que permite a los usuarios locales escalar privilegios a los del usuario «allow_active«.
El segundo problema, CVE-2025-6019, afecta a libblockdev y permite a un usuario «allow_active» elevar privilegios a root aprovechando el daemon udisks, un servicio de gestión de almacenamiento predeterminado en la mayoría de los entornos Linux.
Estos exploits modernos de local-a-root eliminan efectivamente la brecha entre una sesión de usuario estándar y el control total del sistema. Al combinar componentes de sistema confiables, como udisks montajes en bucle y malas configuraciones de PAM/entorno, los atacantes con acceso a cualquier sesión GUI o SSH activa pueden rápidamente eludir el «allow_active» límite de confianza y escalar a privilegios de root en segundos. Los investigadores enfatizan que aunque estos exploits técnicamente requieren «allow_active» permisos, udisks está habilitado por defecto en la mayoría de las distribuciones Linux, lo que significa que casi todos los sistemas están en riesgo. Además, fallos como el problema de PAM divulgado debilitan aún más cualquier barrera para obtener acceso «allow_active«.
Una vez obtenidos los privilegios de root, los adversarios pueden controlar completamente el sistema, modificando configuraciones de seguridad, desplegando puertas traseras persistentes y usando la máquina como plataforma para futuros ataques.
El acceso root representa un riesgo crítico, permitiendo a los atacantes desactivar herramientas EDR, instalar puertas traseras persistentes y alterar configuraciones del sistema que sobreviven a los reinicios. Un solo servidor comprometido puede rápidamente llevar a un compromiso a nivel de flota, especialmente cuando se dirigen paquetes predeterminados.
Qualys ha desarrollado exploits PoC, validando estas vulnerabilidades en múltiples distribuciones, incluyendo Ubuntu, Debian, Fedora y openSUSE Leap 15.
Como posibles pasos de mitigación de CVE-2025-6018 y CVE-2025-6019 para minimizar la exposición, los usuarios deben aplicar inmediatamente parches de sus proveedores de Linux. Como solución temporal, se recomienda ajustar la regla Polkit para org.freedesktop.udisks2.modify-device para requerir autenticación de administrador (auth_admin).
Encadenar CVE-2025-6018 y CVE-2025-6019 permite a cualquier usuario SSH en SUSE 15 o Leap 15 elevar privilegios de usuario estándar a root usando solo configuraciones PAM y udisks establecimientos por defecto. Esto aumenta significativamente el nivel de amenaza para las organizaciones globales. Una vez que se obtiene acceso root, los atacantes pueden desactivar herramientas de seguridad, mantener persistencia y pivotar lateralmente, lo que representa un riesgo para todo el entorno, lo que requiere una respuesta inmediata y proactiva de los defensores para prevenir posibles brechas. SOC Prime cura una suite de productos completa respaldada por IA, capacidades automatizadas, inteligencia de amenazas en tiempo real y construida sobre principios de confianza cero para ayudar a las organizaciones a superar las amenazas cibernéticas sin importar su sofisticación.
