Exploitation des vulnérabilités CVE-2025-6018 et CVE-2025-6019 : Enchaînement des failles d’escalade de privilèges locaux permettant aux attaquants d’obtenir un accès root sur la plupart des distributions Linux
Juin a été un mois difficile pour les équipes de cybersécurité, avec une vague de vulnérabilités à fort impact perturbant le paysage des menaces. Après la divulgation d’un zero-day XSS récemment corrigé dans Grafana (CVE-2025-4123), affectant plus de 46 500 instances actives, deux autres failles critiques ont émergé pouvant être combinées, augmentant significativement le potentiel d’exploitation. Les adversaires peuvent armer deux vulnérabilités d’élévation de privilèges locales nouvellement identifiées (LPE), suivies sous les noms CVE-2025-6018 et CVE-2025-6019, pour obtenir des privilèges de niveau root sur des systèmes exécutant les principales distributions Linux. (LPE) vulnerabilities, tracked as CVE-2025-6018 and CVE-2025-6019, to obtain root-level privileges on systems running major Linux distributions.
L’exploitation des vulnérabilités reste une préoccupation majeure en matière de sécurité alors que le nombre de CVE signalés ne cesse d’augmenter. En juin 2025, plus de 22 000 vulnérabilités avaient été divulguées, reflétant une augmentation de 16 % par rapport à la même période en 2024 et soulignant la pression croissante sur les défenseurs pour suivre le rythme.
Inscrivez-vous à la plateforme SOC Prime pour accéder au flux global des menaces actives, fournissant des règles de détection CTI actionnables et sélectionnées pour défendre de manière proactive contre les menaces émergentes, y compris les zero-day critiques et les vulnérabilités connues. Les ingénieurs en sécurité peuvent accéder à une collection complète de règles Sigma vérifiées marquées par “CVE”, alimentée par une suite de produits complète pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée et la détection avancée des menaces.
Tous les algorithmes de détection peuvent être automatiquement convertis en plusieurs formats SIEM, EDR et Data Lake pour faciliter la détection des menaces sur plusieurs plateformes et sont mappés MITRE ATT&CK® pour simplifier la recherche des menaces. Chaque règle est également enrichie de liens CTI, de chronologies d’attaques, de configurations d’audit, de recommandations de triage et de métadonnées plus approfondies. Cliquez sur le bouton Explore Detections pour explorer la pile de détection pertinente traitant les vulnérabilités actuelles et existantes filtrées par le tag “CVE”.
Les ingénieurs en sécurité peuvent également tirer parti de Uncoder AI, qui agit comme un co-pilote IA, soutenant les ingénieurs en détection de bout en bout tout en accélérant les flux de travail et en améliorant la couverture. Avec Uncoder, les équipes de sécurité peuvent instantanément convertir des IOC en requêtes de chasse sur mesure, rédiger du code de détection à partir de rapports de menaces en direct appuyés par l’IA, générer du contenu SOC avec des invites IA personnalisées, utiliser la validation de la syntaxe et le raffinement de la logique de détection pour une meilleure qualité de code, visualiser automatiquement les Flux d’Attaque, et enrichir les règles Sigma avec les (sous-)techniques MITRE ATT&CK.
Analyse de CVE-2025-6018 et CVE-2025-6019
Les chercheurs de Qualys ont récemment découvert deux nouvelles vulnérabilités LPE qui peuvent être utilisées en tandem pour donner le feu vert aux attaquants pour obtenir un accès root sur les systèmes utilisant des distributions Linux largement adoptées.
La première faille, CVE-2025-6018, provient de la mauvaise configuration de PAM sur openSUSE Leap 15 et SUSE Linux Enterprise 15, ce qui permet aux utilisateurs locaux d’escalader les privilèges à ceux de l’utilisateur « allow_active« .
Le second problème, CVE-2025-6019, affecte libblockdev et permet à un utilisateur « allow_active » d’élever les privilèges à root en armant le démon udisks, un service de gestion de stockage par défaut dans la plupart des environnements Linux.
Ces exploits modernes de local à root éliminent efficacement l’écart entre une session utilisateur standard et le contrôle complet du système. En combinant des composants système de confiance, comme udisks les montages en boucle et les mauvaises configurations PAM/environnement, les attaquants ayant accès à toute session GUI ou SSH active peuvent rapidement contourner la barrière de « allow_active » confiance et s’élever à des privilèges root en quelques secondes. Les chercheurs soulignent que bien que ces exploits nécessitent techniquement des permissions « allow_active » udisks soit activé par défaut sur la plupart des distributions Linux, impliquant que presque tous les systèmes sont à risque. De plus, des failles comme le problème PAM divulgué affaiblissent davantage toute barrière pour obtenir l’accès « allow_active« .
Une fois que les privilèges root sont obtenus, les adversaires peuvent contrôler totalement le système, modifier les configurations de sécurité, déployer des portes dérobées persistantes et utiliser la machine comme rampe de lancement pour d’autres attaques.
L’accès root pose un risque critique, permettant aux attaquants de désactiver les outils EDR, d’installer des portes dérobées persistantes et de modifier les paramètres du système qui survivent aux redémarrages. Un serveur compromis unique peut rapidement conduire à un compromis à l’échelle de la flotte, en particulier lorsque les paquets par défaut sont ciblés.
Qualys a développé des exploits PoC, validant ces vulnérabilités sur plusieurs distributions, y compris Ubuntu, Debian, Fedora et openSUSE Leap 15.
Comme étapes potentielles d’atténuation de CVE-2025-6018 et CVE-2025-6019 pour minimiser l’exposition, les utilisateurs doivent appliquer immédiatement les correctifs de leurs fournisseurs Linux. Comme solution temporaire, il est recommandé d’ajuster la règle Polkit pour org.freedesktop.udisks2.modify-device pour exiger une authentification administrateur (auth_admin).
Le chaînage de CVE-2025-6018 et CVE-2025-6019 permet à tout utilisateur SSH sur SUSE 15 ou Leap 15 d’élever ses privilèges d’utilisateur standard à root en utilisant uniquement PAM par défaut et les configurations udisks . Cela augmente considérablement le niveau de menace pour les organisations mondiales. Une fois l’accès root obtenu, les attaquants peuvent désactiver les outils de sécurité, maintenir la persistance et pivoter latéralement, posant un risque pour l’ensemble de l’environnement, ce qui nécessite une réponse immédiate et proactive des défenseurs pour prévenir les violations potentielles. SOC Prime organise une suite complète de produits soutenue par l’IA, les capacités automatisées, les renseignements en temps réel sur les menaces et basée sur les principes de zéro confiance pour aider les organisations à surpasser les cybermenaces, quelle que soit leur sophistication.
