Siber güvenlik araştırmacıları, büyük Linux dağıtımlarını çalıştıran makinelerde kök ayrıcalıkları kazanmak için kullanılabilecek iki yerel ayrıcalık artış (LPE) kusurunu ortaya çıkardılar.
Qualys tarafından keşfedilen güvenlik açıkları aşağıda listelenmiştir –
- CVE-2025-6018 – Suse 15’in Tapan Edilebilir Kimlik Doğrulama Modüllerinde (PAM) Infericateged’den Leter_Action’a LPE
- CVE-2025-6019 – Udisks Daemon aracılığıyla Libblockdev’de algıladan libblockdev’de roottan lpe
Qualys Tehdit Araştırma Birimi (TRU) kıdemli yöneticisi Saeed Abbasi, “Bu modern ‘yerel-kök’ istismarları, sıradan bir oturum açma kullanıcısı ile tam bir sistem devralma arasındaki boşluğu çökertti.” Dedi.
“Udisks Loop Mounts ve Pam/Çevre Tuhaflıkları gibi meşru hizmetleri zincirleyerek, herhangi bir aktif GUI veya SSH oturumuna sahip olan saldırganlar, Polkit’in Allow_active Trust bölgesinde tonoz olabilir ve saniyeler içinde kök olarak ortaya çıkabilir.”
Siber güvenlik şirketi, CVE-2025-6018’in PAM yapılandırmasında bulunduğunu, opensuse LEAP 15 ve Suse Linux Enterprise 15’in konfigürasyonunda bulunduğunu ve ürpertici olmayan bir yerel saldırganın “Allow_active” kullanıcısına yükselmesini ve fiziksel olarak mevcut kullanıcı için ayrılmış polkit eylemlerini çağırmasını sağladığını söyledi.
CVE-2025-6019 ise Libblockdev’i etkiler ve çoğu Linux dağıtımına varsayılan olarak dahil edilen Udisks arka planı aracılığıyla sömürülebilir. Esasen bir “algılama” kullanıcının CVE-2025-6018 ile zincirleyerek tam kök ayrıcalıkları kazanmasına izin verir.
Abbasi, “Nominal olarak ‘Allow_active’ ayrıcalıkları gerektirse de, Udisks varsayılan olarak neredeyse tüm Linux dağıtımlarında gemiler, bu nedenle neredeyse her sistem savunmasızdır.” “Burada açıklanan PAM sorunu da dahil olmak üzere ‘algılama’ kazanma teknikleri, bu bariyeri daha da reddediyor.”
Kök ayrıcalıkları elde edildikten sonra, bir saldırganın sisteme carte blanche erişimi vardır, bu da güvenlik kontrollerini değiştirmek ve gizli erişim için backdours implantları gibi daha geniş bir zorunluluk sonrası eylemler için bir sıçrama tahtası olarak kullanmalarına izin verir.
Qualys, Ubuntu, Debian, Fedora ve OpenSuse LEAP 15 dahil olmak üzere çeşitli işletim sistemlerinde bu güvenlik açıklarının varlığını doğrulamak için konsept kanıtı (POC) istismarları geliştirdiğini söyledi.
Bu kusurların ortaya koyduğu riski azaltmak için, Linux dağıtım satıcıları tarafından sağlanan yamaları uygulamak önemlidir. Geçici geçici çözümler olarak, kullanıcılar yönetici kimlik doğrulaması (“auth_admin”) gerektirecek şekilde “org.freedesktop.udisks2.modify-bice” için polkit kuralını değiştirebilir.
Linux Pam’de açıklanan kusur
Açıklama, Linux Pam’in bakımcılarının yüksek şiddetli bir yol geçiş kusurunu çözmesiyle gelir (CVE-2025-6020CVSS puanı: 7.8) Yerel bir kullanıcının kök ayrıcalıklarına yükselmesine izin verebilir. Sorun 1.7.1 sürümünde düzeltilmiştir.
Linux Pam koruyucu Dmitry V. Levin, “Linux-Pam <= 1.7.0'daki PAM_NAMESPACE modülü, yerel bir kullanıcının birden fazla sembolik saldırısı ve yarış koşulları aracılığıyla ayrıcalıklarını kökten kaldırmasına izin veren uygun korumalar olmadan kullanıcı kontrollü yollara erişebilir." Dedi.
Linux sistemleri, polyinstanticed dizin veya örnek dizini yolunun kullanıcı kontrolü altında olduğu poliinstantied dizinler ayarlamak için PAM_Namespace kullanırlarsa savunmasızdır. CVE-2025-6020 için geçici çözümler olarak, kullanıcılar PAM_Namespace’i devre dışı bırakabilir veya kullanıcı tarafından kontrol edilen yollarda çalışmadığından emin olabilir.
29 Ocak 2025’te bakıcıya kusur bildiren ANSSI’nin Olivier Bal-Petre, kullanıcıların iki yoldan herhangi birinin kök olarak çalışması güvenli olduğundan emin olmak için dağıtımları tarafından sağlananları kullanmadıkları takdirde adaksay.init komut dosyalarını da güncellemeleri gerektiğini söyledi.