Sfruttamento delle Vulnerabilità CVE-2025-6018 e CVE-2025-6019: la Catena di Difetti di Escalation dei Privilegi Locali Consente agli Attaccanti di Ottenere Accesso Root sulla Maggior Parte delle Distribuzioni Linux
Giugno è stato un mese impegnativo per i team di cybersecurity, con un’ondata di vulnerabilità ad alto impatto che ha sconvolto il panorama delle minacce. Dopo la divulgazione di un nuovo XSS zero-day corretto in Grafana (CVE-2025-4123), che ha colpito oltre 46.500 istanze attive, sono emerse altre due vulnerabilità critiche che possono essere concatenate tra loro, aumentando significativamente il potenziale di sfruttamento. Gli avversari possono armare due vulnerabilità di escalation dei privilegi locali (LPE) appena identificate, tracciate come CVE-2025-6018 e CVE-2025-6019, per ottenere privilegi a livello di root sui sistemi che eseguono le principali distribuzioni Linux. (LPE) vulnerabilities, tracked as CVE-2025-6018 and CVE-2025-6019, to obtain root-level privileges on systems running major Linux distributions.
Lo sfruttamento delle vulnerabilità rimane una preoccupazione critica per la sicurezza poiché il numero di CVE segnalate continua a salire. Entro giugno 2025, erano state divulgate oltre 22.000 vulnerabilità, riflettendo un aumento del 16% rispetto allo stesso periodo del 2024 e sottolineando la crescente pressione sui difensori per tenere il passo.
Registrati alla piattaforma SOC Prime per accedere al feed globale delle minacce attive, fornendo regole di rilevamento CTI azionabili e curate per difendersi in modo proattivo dalle minacce emergenti, inclusi zero-day critici e vulnerabilità note. Gli ingegneri della sicurezza possono accedere a una raccolta completa di regole Sigma verificate etichettate con “CVE”, alimentate da una suite completa di prodotti per l’ingegneria del rilevamento basata sull’intelligenza artificiale, la caccia alle minacce automatizzata e il rilevamento avanzato delle minacce.
Tutti gli algoritmi di rilevamento possono essere automaticamente convertiti in più formati SIEM, EDR e Data Lake per facilitare il rilevamento delle minacce cross-platform e sono mappati sul MITRE ATT&CK® per semplificare la ricerca delle minacce. Ogni regola è inoltre arricchita di collegamenti CTI, cronologie degli attacchi, configurazioni degli audit, raccomandazioni per il triage e metadati più approfonditi. Clicca sul pulsante Esplora Rilevamenti per approfondire lo stack di rilevamento rilevante che affronta le vulnerabilità attuali ed esistenti filtrate dal tag “CVE”.
Gli ingegneri della sicurezza possono anche sfruttare Uncoder AI, che agisce come un co-pilota AI, supportando gli ingegneri del rilevamento end-to-end mentre accelera i flussi di lavoro e migliora la copertura. Con Uncoder, i team di sicurezza possono convertire istantaneamente gli IOC in query di caccia personalizzate, creare codice di rilevamento da rapporti di minacce dal vivo supportati dall’intelligenza artificiale, generare contenuti SOC con prompt AI personalizzati, utilizzare la convalida della sintassi e il perfezionamento della logica di rilevamento per una migliore qualità del codice, visualizzare automaticamente i Flussi di Attacco e arricchire le regole Sigma con (sotto-)tecniche MITRE ATT&CK.
Analisi di CVE-2025-6018 e CVE-2025-6019
I ricercatori di Qualys hanno recentemente scoperto due nuove vulnerabilità LPE che possono essere utilizzate insieme per dare luce verde agli attaccanti di ottenere l’accesso root sui sistemi che utilizzano distribuzioni Linux ampiamente adottate.
La prima falla, CVE-2025-6018, deriva da una configurazione errata di PAM su openSUSE Leap 15 e SUSE Linux Enterprise 15, che consente agli utenti locali di aumentare i privilegi a quelli dell’utente “allow_active“.
Il secondo problema, CVE-2025-6019, interessa libblockdev e consente a un utente “allow_active” di elevare i privilegi a root utilizzando il demone udisks, un servizio di gestione dello storage predefinito nella maggior parte degli ambienti Linux.
Questi moderni exploit da locale a root eliminano efficacemente il divario tra una sessione utente standard e il pieno controllo del sistema. Combinando componenti di sistema fidati, come i loop-mount di udisks e le configurazioni errate di PAM/ambiente, gli attaccanti con accesso a qualsiasi sessione GUI attiva o SSH possono rapidamente aggirare il confine di fiducia “allow_active” e aumentare rapidamente i privilegi a root. I ricercatori sottolineano che, sebbene questi exploit tecnicamente richiedano autorizzazioni “allow_active“, sono abilitati per impostazione predefinita sulla maggior parte delle distribuzioni Linux, il che significa che quasi tutti i sistemi sono a rischio. Inoltre, difetti come quello rivelato in PAM indeboliscono ulteriormente qualsiasi barriera per ottenere l’accesso ” udisks is enabled by default on most Linux distributions, meaning that nearly all systems are at risk. Moreover, flaws like the disclosed PAM issue further weaken any barriers to gaining “allow_active“.
Una volta ottenuti i privilegi di root, gli avversari possono controllare completamente il sistema, modificare le configurazioni di sicurezza, distribuire backdoors persistenti e utilizzare la macchina come piattaforma di lancio per ulteriori attacchi.
L’accesso root rappresenta un rischio critico, consentendo agli attaccanti di disabilitare gli strumenti EDR, installare backdoors persistenti e modificare le impostazioni di sistema che sopravvivono ai riavvii. Un singolo server compromesso può rapidamente portare a un compromesso su larga scala, specialmente quando i pacchetti di default sono presi di mira.
Qualys ha sviluppato exploit PoC, convalidando queste vulnerabilità su più distribuzioni, inclusi Ubuntu, Debian, Fedora e openSUSE Leap 15.
Come potenziali misure di mitigazione per CVE-2025-6018 e CVE-2025-6019 per minimizzare l’esposizione, gli utenti dovrebbero applicare immediatamente le patch dai loro fornitori Linux. Come soluzione temporanea, si consiglia di regolare la regola Polkit per org.freedesktop.udisks2.modify-device to require administrator authentication (auth_admin).
Concatenare CVE-2025-6018 e CVE-2025-6019 consente a qualsiasi utente SSH su SUSE 15 o Leap 15 di elevare i privilegi da utente standard a root utilizzando solo PAM predefinito e udisks configurazioni. Questo aumenta significativamente il livello di minaccia per le organizzazioni globali. Una volta ottenuto l’accesso root, gli attaccanti possono disabilitare gli strumenti di sicurezza, mantenere la persistenza e muoversi lateralmente, rappresentando un rischio per l’intero ambiente, il che richiede una risposta immediata e proattiva da parte dei difensori per prevenire potenziali violazioni. SOC Prime cura una suite completa di prodotti supportata da AI, capacità automatizzate, intelligence delle minacce in tempo reale e costruita su principi zero-trust per aiutare le organizzazioni a superare le minacce informatiche indipendentemente dalla loro sofisticazione.
