Sicherheitslücke CVE-2025-6019
Angreifer können nun zwei neu entdeckte Schwachstellen im Bereich der lokalen Rechteausweitung (LPE) ausnutzen, um vollen Root-Zugriff auf Systeme mit gängigen Linux-Distributionen zu erlangen. Bleiben diese Schwachstellen ungepatcht, stellen sie ein ernstes Risiko für Unternehmensumgebungen dar.
Inhaltsverzeichnis
CVE-2025-6018: PAM-Fehlkonfiguration öffnet die Tür
Die erste Schwachstelle, CVE-2025-6018, liegt in der Konfiguration des Pluggable Authentication Modules (PAM)-Frameworks. Sie betrifft openSUSE Leap 15 und SUSE Linux Enterprise 15. Diese Schwachstelle ermöglicht es lokalen Angreifern, ihre Berechtigungen auf die des speziellen Benutzers „allow_active“ zu erweitern – ein wichtiger Schritt für eine Root-Angriff.
CVE-2025-6019: libblockdev + Udisks entspricht vollständigem Root
Die zweite Schwachstelle, CVE-2025-6019, liegt in libblockdev und betrifft den udisks-Daemon, einen Speicherverwaltungsdienst, der standardmäßig auf den meisten Linux-Systemen läuft. Diese Schwachstelle ermöglicht es einem „allow_active“-Benutzer, seine Rechte direkt auf Root-Rechte zu erhöhen. Da udisks weit verbreitet und standardmäßig aktiv ist, ist nahezu jedes Linux-System gefährdet.
Angriffskette: Vom lokalen Zugriff zum Root in Sekunden
Angreifer können diese beiden Schwachstellen zu einem „Local-to-Root“-Chain-Exploit kombinieren. Zunächst missbrauchen sie die PAM-Schwachstelle, um den „allow_active“-Status zu erlangen, und nutzen dann die udisks-Schwachstelle, um vollen Root-Zugriff zu erhalten. Diese Kombination senkt die Hürde für einen Angriff deutlich und ermöglicht die nahezu sofortige Übernahme von SUSE-Systemen.
Distributionsübergreifendes Risiko: Nicht nur ein SUSE-Problem
Obwohl CVE-2025-6019 in SUSE-Systemen entdeckt wurde, zeigten die Forscher, dass es auch andere wichtige Distributionen betrifft, darunter Ubuntu, Debian und Fedora. Mithilfe von Proof-of-Concept-Exploits (PoC) gelang es ihnen, Root-Rechte auf diesen Plattformen zu erlangen, was die breite Anwendbarkeit des Angriffs bestätigte.
Root-Zugriff: Ein Tor zu tieferen Bedrohungen
Das Erlangen von Root-Rechten ist ein Worst-Case-Szenario: Es ermöglicht Agentenmanipulationen, Persistenzmechanismen und laterale Bewegungen über Netzwerke hinweg. Ein einziger ungepatchter Rechner könnte die Sicherheit einer ganzen Serverflotte gefährden.
Handeln Sie schnell: Universelle Risiken erfordern sofortiges Patchen
Angesichts der Allgegenwärtigkeit von Udisks und der einfachen Funktionsweise der Exploit-Kette müssen Unternehmen dies als kritische Schwachstelle behandeln. Um diesen Weg zur Root-Kompromittierung zu eliminieren, ist die sofortige Behebung der PAM-Konfiguration und der libblockdev/udisks-Schwachstelle unerlässlich.
Ein Muster anhaltender Linux-Bedrohungen
Diese LPE-Schwachstellen sind Teil eines wachsenden Trends bei Linux-Sicherheitsbedrohungen. Weitere aktuelle, hochkarätige Schwachstellen sind:
- PwnKit (Polkits pkexec)
- Looney Tunables (ld.so von glibc)
- Sequoia (Kernel-Dateisystemschicht)
- Baron Samedit (Sudo-Privilegeskalation)
Im Fall von Looney Tunables wurde der PoC-Code kurz nach der Offenlegung veröffentlicht. Innerhalb eines Monats kam es zu realen Angriffen mit der Kinsing-Malware, um Anmeldeinformationen von Cloud-Service-Providern (CSPs) zu stehlen.
Fazit: Sichern Sie jetzt Ihre Linux-Infrastruktur
Die Entdeckung von CVE-2025-6018 und CVE-2025-6019 unterstreicht die dringende Notwendigkeit eines kontinuierlichen Patch-Managements und einer proaktiven Überwachung. Diese Schwachstellen stellen ein kritisches, verteilungsübergreifendes Risiko dar und müssen umgehend behoben werden, um eine Kompromittierung auf der Wurzelebene zu verhindern.
