Saldırganlar, büyük Linux dağıtımlarını çalıştıran sistemlerde kök ayrıcalıkları kazanmak için yeni keşfedilen iki yerel ayrıcalık artış (LPE) güvenlik açıklarından yararlanabilir.
İlk kusur (CVE-2025-6018 olarak izlenir), Opensee LEAP 15 ve Suse Linux Enterprise 15’teki takılabilir kimlik doğrulama modüllerinin (PAM) çerçevesinin yapılandırmasında bulundu ve yerel saldırganların “algılama” kullanıcısının ayrıcalıklarını kazanmasına izin verdi.
Diğer güvenlik hatası (CVE-2025-6019) Libblockdev’de keşfedildi ve “algılama” kullanıcısının Udisks daemon (çoğu Linux dağıtımında varsayılan olarak çalışan bir depolama yönetimi hizmeti) aracılığıyla kök izinleri kazanmasını sağlıyor.
İki kusuru “yerel-kök” zincir istismarının bir parçası olarak başarılı bir şekilde kötüye kullanmak, saldırganların hızla kök almasına ve tamamen bir Suse sistemini ele geçirmesine izin verebilirken, Libblockdev/Udisks kusuru da kendi başına son derece tehlikelidir.
Qualys TRU kıdemli yöneticisi Saeed Abbasi, “Nominal olarak ‘algılama’ ayrıcalıkları gerektirse de, Udisks varsayılan olarak neredeyse tüm Linux dağıtımlarında gemiler, bu nedenle neredeyse her sistem savunmasızdır.” Dedi.
“Burada açıklanan PAM sorunu da dahil olmak üzere ‘Allow_active’ kazanma teknikleri, bu bariyeri daha da reddediyor. Bir saldırgan, bu güvenlik açıklarını minimum çaba ile hemen kök uzlaşma için zincirleyebilir.”
Her iki kusuru da keşfeden ve bildiren Qualys Tehdit Araştırma Birimi (TRU), kavram kanıtı istismarları geliştirdi ve Ubuntu, Debian, Fedora ve Opensuse Leap 15 sistemlerinde kök ayrıcalıkları elde etmek için CVE-2025-6019’u başarıyla hedef aldı.
Yöneticiler hemen yamaya çağırdı
Qualys Güvenlik Danışma Ekibi, buradaki bu iki güvenlik açığı ile ilgili daha fazla teknik ayrıntı paylaştı ve bu OpenWall Post’taki güvenlik yamalarıyla bağlantılı.
Abbasi, “Kök erişimi ajan kurcalama, kalıcılık ve yanal hareket sağlar, bu nedenle eşleştirilmemiş bir sunucu tüm filoyu tehlikeye atar. Bu yolu ortadan kaldırmak için her yerde Pam hem de Libblockdev/Udiske yama.”
“Udisklerin yaygınlığı ve istismarın sadeliği göz önüne alındığında, kuruluşlar bunu bir Kritik, evrensel risk ve gecikmeden yamalar dağıtım. “
Son yıllarda, Qualys araştırmacıları, saldırganların varsayılan konfigürasyonlarda bile, saldırgan olmayan Linux sistemlerini ele geçirmesine izin veren diğer birkaç Linux güvenlik açığı keşfettiler.
Keşfedildikleri güvenlik kusurları arasında Polkit’in PKEXEC bileşeninde (Pwnkit olarak adlandırılan), biri GlibC’nin LD.So Dinamik Yükleyicisi (Looney Tunables), diğeri çekirdeğin dosya sistemi katmanında (dublajlı Sequoia) ve diğeri Sudo Unix programında (Baron Samedit) bulunur.
Looney Tunables kusurunun açıklanmasından kısa bir süre sonra, kavram kanıtı (POC) istismarları çevrimiçi olarak piyasaya sürüldü. Bir ay sonra, saldırganlar kinsing kötü amaçlı yazılım kullanarak bulut servis sağlayıcısı (CSP) kimlik bilgilerini çalmak için sömürmeye başladı.
Qualys ayrıca son zamanlarda 10 yıl önce varsayılan olarak Ubuntu Linux 21.04 ve sonraki sürümlerinde kullanılan NeedResTart yardımcı programında tanıtılan beş LPE güvenlik açığı buldu.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.