CVE-2025-6018およびCVE-2025-6019脆弱性の悪用：ローカル権限昇格の欠陥を連鎖させることで、攻撃者が大多数のLinuxディストリビューションでルートアクセスを得る

6月はサイバーセキュリティチームにとって困難な月であり、高インパクトの脆弱性の波が脅威の状況を混乱させました。新たに修正されたGrafanaのXSSゼロデイの公開後（CVE-2025-4123）、46,500以上のアクティブインスタンスに影響を与える2つの重要な脆弱性が出現し、一緒に組み合わせることで、攻撃の可能性が大幅に高まります。敵対者は、新たに特定された2つのローカル 権限昇格 （LPE）脆弱性、CVE-2025-6018およびCVE-2025-6019として追跡されるものを武器にして、主要なLinuxディストリビューションを実行するシステムでルートレベルの権限を取得できます。

脆弱性の悪用は、報告されたCVEの数が増加を続ける中で、依然として重要なセキュリティ懸念事項です。2025年6月までに、 22,000以上の脆弱性が公開されましたこれは、2024年の同期間に対して16%の増加を示しており、防御者が対応速度を維持するための圧力が高まっていることを強調しています。

SOC Prime プラットフォームに登録 すると、グローバルアクティブ脅威フィードにアクセスし、重要なゼロデイや既知の脆弱性を含む新たな脅威に対してプロアクティブに防御するためのアクション可能な CTI およびキュレーションされた検出ルールを提供します。セキュリティエンジニアは、「CVE」でタグ付けされた検証済みSigmaルールの包括的なコレクションにアクセスでき、AI駆動の検出エンジニアリング、自動脅威ハンティング、高度な脅威検出のための完全な製品スイートで強化されています。 

すべての検出アルゴリズムは、複数のSIEM、EDR、およびデータレイク形式に自動的に変換され、クロスプラットフォームの脅威検出を容易にし、 MITRE ATT&CK® にマッピングされ、脅威リサーチを円滑にします。各ルールはまた、CTIリンク、攻撃タイムライン、監査構成、トリアージ推奨事項、およびより詳細なメタデータで強化されています。「 検出を探索 」ボタンをクリックすると、「CVE」タグでフィルタリングされた現在および既存の脆弱性に対応する関連する検出スタックを掘り下げることができます。

検出を探索

セキュリティエンジニアはまた、 Uncoder AIを活用することもでき、それはAIの副操縦士として機能し、検出エンジニアをエンドツーエンドでサポートし、ワークフローを加速し、カバレッジを向上させます。Uncoderを使用すると、セキュリティチームはIOCを瞬時にカスタムハンティングクエリに変換し、AIに裏打ちされたライブ脅威レポートから検出コードを作成し、カスタムAIプロンプトでSOCコンテンツを生成し、コード品質を向上させるための構文検証と検出ロジックの洗練を採用し、攻撃フローを自動的に視覚化し、MITRE ATT&CKの（サブ）技術でSigmaルールを強化できます。 

CVE-2025-6018およびCVE-2025-6019の分析

Qualysの研究者たち は最近、攻撃者が広く採用されているLinuxディストリビューションを使用するシステム上でルートアクセスを得るために使用される、新たな2つのLPE脆弱性を発見しました。

最初の欠陥、CVE-2025-6018は、openSUSE Leap 15およびSUSE Linux Enterprise 15のPAMの誤設定に起因し、ローカルユーザーが「allow_active」ユーザーの権限に特権を昇格させることを可能にします。

2つ目の問題、CVE-2025-6019は libblockdev に影響を与え、「allow_active」ユーザーが udisksデーモン、Linux環境のほとんどでデフォルトのストレージ管理サービスを武器にすることで、ルートとして特権を昇格させることを可能にします。

これらの最新のローカルからルートへのエクスプロイトは、標準のユーザーセッションと完全なシステム制御間のギャップを実質的に排除します。「 udisks のループマウントやPAM/環境の誤設定など信頼できるシステムコンポーネントを組み合わせることで、アクティブなGUIやSSHセッションにアクセスできる攻撃者は、迅速に「allow_active」の信頼境界をバイパスし、数秒でルート権限に昇格できます。研究者は、これらのエクスプロイトは技術的には「allow_active」の許可を必要とするものの、 udisks がほとんどのLinuxディストリビューションでデフォルトで有効になっているため、ほぼすべてのシステムがリスクにさらされていると強調しています。さらに、公表されたPAMの問題のような欠陥は、「allow_active」アクセスを獲得するための障壁をさらに弱めます。

一度ルート権限を取得すると、敵対者はシステムを完全に制御し、セキュリティ構成を変更し、持続的なバックドアを展開し、さらなる攻撃の発射台としてマシンを利用できます。

ルートアクセスは重大なリスクをもたらし、攻撃者はEDRツールを無効化し、持続的なバックドアをインストールし、再起動を生き延びるシステム設定を変更することができます。単一の侵害されたサーバーは、特にデフォルトパッケージが標的にされた場合、すぐにフリート全体の侵害につながる可能性があり、 

Qualysは開発しました PoCエクスプロイトで、Ubuntu、Debian、Fedora、openSUSE Leap 15を含む複数のディストリビューションでこれらの脆弱性を検証しています。

CVE-2025-6018とCVE-2025-6019の潜在的な緩和ステップとして、ユーザーはただちにLinuxベンダーからのパッチを適用する必要があります。一時的な回避策としては、 org.freedesktop.udisks2.modify-device to require administrator authentication (auth_admin).

CVE-2025-6018とCVE-2025-6019を組み合わせることで、SUSE 15またはLeap 15上の任意のSSHユーザーが、デフォルトのPAMおよび udisks のセットアップのみを使用して、標準ユーザーからルートまでの特権を昇格させることができます。これにより、グローバル組織の脅威レベルが大幅に増加します。一旦ルートアクセスが獲得されると、攻撃者はセキュリティツールを無効化し、持続性を維持し、横方向に移動することができ、全体の環境にリスクをもたらします。これに対して防御者からの即座かつ積極的な対応が必要で、潜在的な侵害を防ぐために取り組む必要があります。SOC Primeは、 完全な製品スイートを提供しており AI、オートメーション機能、リアルタイムの脅威インテリジェンスに支えられ、 ゼロトラスト の原則に基づいて構築されており、組織がサイバー脅威の高度さに関係なく対抗できるようサポートしています。