Exploração de Vulnerabilidades CVE-2025-6018 e CVE-2025-6019: Cadeia de Falhas de Escalada de Privilégio Local Permite que Atacantes Ganhem Acesso Root na Maioria das Distribuições Linux
Junho tem sido um mês desafiador para as equipes de cibersegurança, com uma onda de vulnerabilidades de alto impacto interrompendo o cenário de ameaças. Após a divulgação de um zero-day XSS recém-corrigido no Grafana (CVE-2025-4123), afetando mais de 46.500 instâncias ativas, surgiram outras duas falhas críticas que podem ser encadeadas, aumentando significativamente o potencial de exploração. Os adversários podem armar duas vulnerabilidades de escalação de privilégio (LPE) recém-identificadas, rastreadas como CVE-2025-6018 e CVE-2025-6019, para obter privilégios de nível root em sistemas que executam principais distribuições Linux.
A exploração de vulnerabilidades continua sendo uma preocupação crítica de segurança à medida que o número de CVEs relatados continua subindo. Em junho de 2025, foram divulgadas mais de 22.000 vulnerabilidades, refletindo um aumento de 16% em relação ao mesmo período em 2024 e destacando a crescente pressão sobre os defensores para acompanhar o ritmo.
Registre-se na SOC Prime Platform para acessar o feed global de ameaças ativas, fornecendo CTI regras de detecção acionáveis e curadas para defender proativamente contra ameaças emergentes, incluindo zero-days críticos e vulnerabilidades conhecidas. Os engenheiros de segurança podem acessar uma coleção abrangente de regras Sigma verificadas etiquetadas por “CVE”, alimentadas por uma suíte completa de produtos para engenharia de detecção alimentada por IA, caça a ameaças automatizada e detecção avançada de ameaças.
Todos os algoritmos de detecção podem ser convertidos automaticamente em múltiplos formatos de SIEM, EDR e Data Lake para facilitar a detecção de ameaças em plataformas cruzadas e são mapeados para MITRE ATT&CK® para simplificar a pesquisa de ameaças. Cada regra também é enriquecida com links CTI, cronogramas de ataques, configurações de auditoria, recomendações de triagem e metadados mais profundos. Clique no botão Explore Detections para aprofundar no stack de detecção relevante abordando vulnerabilidades atuais e existentes filtradas pela tag “CVE”.
Os engenheiros de segurança também podem aproveitar Uncoder AI, que atua como um co-piloto de IA, apoiando engenheiros de detecção de ponta a ponta enquanto acelera fluxos de trabalho e melhora a cobertura. Com o Uncoder, as equipes de segurança podem converter instantaneamente IOCs em consultas de caça personalizadas, criar código de detecção a partir de relatórios de ameaças ao vivo apoiados por IA, gerar conteúdo SOC com prompts de IA personalizados, empregar validação de sintaxe e refinamento de lógica de detecção para melhor qualidade de código, visualizar Fluxos de Ataque automaticamente e enriquecer regras Sigma com técnicas (sub-) do MITRE ATT&CK.
Análise CVE-2025-6018 e CVE-2025-6019
Pesquisadores da Qualys recentemente descobriram duas novas vulnerabilidades LPE que podem ser usadas em conjunto para dar aos atacantes sinal verde para obter acesso root em sistemas que utilizam distribuições Linux amplamente adotadas.
A primeira falha, CVE-2025-6018, decorre da má configuração do PAM no openSUSE Leap 15 e SUSE Linux Enterprise 15, que permite que usuários locais escalem privilégios para os do usuário “allow_active“.
O segundo problema, CVE-2025-6019, afeta libblockdev e permite que um usuário “allow_active” eleve privilégios para root ao armar o daemon udisks, um serviço padrão de gerenciamento de armazenamento na maioria dos ambientes Linux.
Esses exploits modernos de local para root efetivamente eliminam a lacuna entre uma sessão de usuário padrão e o controle completo do sistema. Ao combinar componentes de sistema confiáveis, como udisks , loops de montagem e más configurações PAM/ambiente, atacantes com acesso a qualquer sessão GUI ou SSH ativa podem rapidamente contornar o limite de confiança e escalar para privilégios de root em segundos. Os pesquisadores enfatizam que, embora esses exploits tecnicamente requeiram permissões “allow_active“,allow_activeestão habilitadas por padrão na maioria das distribuições Linux, o que significa que quase todos os sistemas estão em risco. Além disso, falhas como o problema de PAM divulgado enfraquecem ainda mais qualquer barreira para obter acesso ” udisks completo.allow_activeUma vez obtidos os privilégios de root, os adversários podem controlar totalmente o sistema, modificando configurações de segurança, implantando backdoors persistentes e usando a máquina como uma plataforma de lançamento para novos ataques.
Once root privileges are obtained, adversaries can fully control the system, modifying security configurations, deploying persistent backdoors, and using the machine as a launchpad for further attacks.
O acesso root representa um risco crítico, permitindo que atacantes desabilitem ferramentas EDR, instalem backdoors persistentes e alterem configurações do sistema que sobrevivem a reinicializações. Um único servidor comprometido pode rapidamente levar a comprometer toda a frota, especialmente quando pacotes padrão são visados.
A Qualys desenvolveu explorações PoC, validando essas vulnerabilidades em várias distribuições, incluindo Ubuntu, Debian, Fedora e openSUSE Leap 15.
Como possíveis etapas de mitigação para CVE-2025-6018 e CVE-2025-6019 para minimizar a exposição, os usuários devem aplicar imediatamente patches de seus fornecedores Linux. Como uma solução temporária, recomenda-se ajustar a regra Polkit para org.freedesktop.udisks2.modify-device para exigir autenticação de administrador (auth_admin).
Chaining CVE-2025-6018 e CVE-2025-6019 permite que qualquer usuário SSH no SUSE 15 ou Leap 15 eleve privilégios de um usuário padrão para root usando apenas a configuração padrão do PAM e udisks configurações padrão. Isso aumenta significativamente o nível de ameaça para organizações globais. Uma vez que o acesso root é obtido, os atacantes podem desabilitar ferramentas de segurança, manter persistência e pivotar lateralmente, representando um risco para todo o ambiente, o que requer uma resposta imediata e proativa dos defensores para prevenir possíveis violações. A SOC Prime cura uma suíte completa de produtos baseada em IA, capacidades automatizadas, inteligência de ameaças em tempo real e construída sobre princípios de confiança zero para ajudar as organizações a superarem ameaças cibernéticas, independentemente de sua sofisticação.
