CVE-2025-6018 및 CVE-2025-6019 취약점 악용: 로컬 권한 상승 결함 체인을 통해 대부분의 Linux 배포판에서 공격자가 루트 접근 권한을 획득할 수 있음
6월은 사이버 보안 팀에게 어려운 달이었습니다. 고영향 취약성이 위협 환경을 방해하는 파도가 있었습니다. Grafana에서 새롭게 패치된 XSS 제로데이 공개 이후 (CVE-2025-4123), 46,500개 이상의 활성 인스턴스에 영향을 미치며, 두 가지의 다른 중대한 결함이 함께 사용될 수 있어 착취 가능성이 크게 증가했습니다. 공격자는 새로운 두 가지의 지역 권한 상승 (LPE) 취약점인 CVE-2025-6018 및 CVE-2025-6019를 이용하여 주요 리눅스 배포판을 실행 중인 시스템에서 루트 레벨 권한을 얻을 수 있습니다.
취약점 착취는 보고된 CVE 수가 계속 증가함에 따라 여전히 중요한 보안 우려 사항으로 남아 있습니다. 2025년 6월까지, 22,000개 이상의 취약점이공개되었으며, 이는 2024년 동일한 기간에 비해 16% 증가한 것으로 방어자가 걸맞게 대응을 유지해야 한다는 압력을 증가시키고 있습니다.
SOC Prime 플랫폼에 등록하십시오 글로벌 활성 위협 피드에 액세스하여 행동 가능한 CTI 정보와 큐레이팅된 탐지 규칙을 제공함으로써 중요한 제로데이 및 알려진 취약점을 포함하여 새로 등장하는 위협에 대해 적극적으로 방어할 수 있습니다. 보안 엔지니어는 CVE로 태그된 검증된 Sigma 규칙의 포괄적 컬렉션에 다다를 수 있으며, AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 고급 위협 탐지를 위한 완전한 제품 스위트에 의해 지원됩니다.
모든 탐지 알고리즘은 서로 다른 SIEM, EDR 및 데이터 레이크 형식으로 자동으로 변환될 수 있으며, MITRE ATT&CK® 에 매핑되어 위협 연구를 간소화합니다. 각 규칙은 또한 CTI 링크, 공격 타임라인, 감사 구성, 초기 대응 권고사항 및 더 깊이 있는 메타데이터로 풍부해집니다. “ 탐지 탐색 ” 버튼을 클릭하여 “CVE” 태그로 필터링된 현재 및 기존의 취약점을 다루는 관련 탐지 스택을 깊이 파악하십시오.
보안 엔지니어는 또한 Uncoder AI를 활용할 수 있습니다. 이는 AI 공동 조종사로 작동하며, 탐지 엔지니어의 전체 과정을 지원하고 워크플로우를 가속화하며 범위를 향상시킵니다. Uncoder를 통해 보안 팀은 IOCs를 즉시 커스텀 탐색 쿼리로 변환하고, AI로 지원되는 라이브 위협 보고서에서 탐지 코드를 작성하고, 커스텀 AI 프롬프트로 SOC 콘텐츠를 생성하며, 구문 검증 및 탐지 논리 개선으로 더 나은 코드 품질을 확보하고, 자동으로 공격 흐름을 시각화하며, MITRE ATT&CK (하위) 기술로 Sigma 규칙을 풍부하게 합니다.
CVE-2025-6018 및 CVE-2025-6019 분석
Qualys 연구원들이 최근 두 가지 새로운 LPE 취약점을 발견했으며, 이는 널리 사용되는 리눅스 배포판에서 시스템에 루트 접근 권한을 얻을 수 있도록 공격자에게 녹색 신호를 줍니다.
첫 번째 결함인 CVE-2025-6018은 openSUSE Leap 15 및 SUSE Linux Enterprise 15의 PAM 잘못된 구성에서 발생하며, 현지 사용자가 “allow_active” 사용자로 권한을 상승시킬 수 있게 합니다.
두 번째 문제인 CVE-2025-6019는 libblockdev 에 영향을 미치며 “llow_active” 사용자가 대부분의 리눅스 환경에서 기본 스토리지 관리 서비스로 udisks 데몬을 무기화하여 루트로 권한을 상승시킬 수 있게 합니다.
이러한 현대적인 로컬-루트 익스플로잇은 표준 사용자 세션과 전체 시스템 제어 사이의 간극을 효과적으로 제거합니다. ” udisks 루프 마운트 및 PAM/환경 잘못된 구성을 신뢰할 수 있는 시스템 구성요소와 결합하여, 공격자는 활성 GUI 또는 SSH 세션에 액세스함으로써 “allow_active” 신뢰 경계 “allow_active“를 빠르게 우회하고 수 초 내에 루트 권한으로 상승할 수 있습니다. 연구원들은 이러한 익스플로잇이 기술적으로 요구하는 ” udisks ” 권한은 대부분의 리눅스 배포판에서 기본 설정으로 활성화되어 있어, 거의 모든 시스템이 위험하다는 것을 강조합니다. 또한 공개된 PAM 문제와 같은 결함은 “allow_active” 액세스를 얻기 위한 장벽을 더욱 약화시킵니다.
일단 루트 권한을 얻으면, 공격자는 시스템을 완전히 제어할 수 있으며, 보안 구성을 수정하고, 지속적 백도어를 배포하며, 추가 공격을 위한 발판으로 사용합니다.
루트 접근은 심각한 위험을 초래하며, 공격자가 EDR 도구를 비활성화하고, 지속적 백도어를 설치하며, 시스템 설정을 변경하여 재부팅을 거쳐도 영향을 받습니다. 하나의 손상된 서버는 기본 패키지가 타겟이 될 때 전체 플릿까지 손상을 빠르게 확산시킬 수 있습니다.
Qualys는 PoC 익스플로잇을 개발하였으며, Ubuntu, Debian, Fedora, openSUSE Leap 15 등의 여러 배포판에서 이러한 취약점을 검증하였습니다.
노출을 최소화하기 위한 잠재적 CVE-2025-6018 및 CVE-2025-6019 완화 단계로, 사용자는 즉시 그들의 리눅스 벤더로부터 패치를 적용해야 합니다. 임시 해결책으로, org.freedesktop.udisks2.modify-device 를 위한 Polkit 규칙을 조정하여 관리자 인증( auth_admin).
)을 요구하는 것이 추천됩니다. SUSE 15 또는 Leap 15에서 SSH 사용자가 기본 PAM 및 udisks 구성을 사용하여 표준 사용자에서 루트로 권한을 상승시키는 CVE-2025-6018 및 CVE-2025-6019를 연쇄적으로 사용함으로써, 이는 전 세계 조직에 대한 위협 수준을 크게 증가시킵니다. 루트 접근이 확보되면 공격자는 보안 도구를 비활성화하고 지속성을 유지하며 측면으로 전송하여 전체 환경에 위험을 초래합니다. 잠재적 침해를 방지하기 위해 방어자는 즉각적이고 적극적인 대응이 요구됩니다. SOC Prime은 AI, 자동화된 기능, 실시간 위협 정보, 제로 트러스트 원칙에 기반한 종합적인 제품 스위트를 제공합니다. 이를 통해 조직은 그들의 복잡성과 상관없이 사이버 위협을 능가할 수 있도록 돕습니다. principles to help organizations outscale cyber threats no matter their sophistication.
