6 月对网络安全团队来说是充满挑战的月份,一波高影响的漏洞扰乱了威胁态势。在 Grafana 中披露新修补的 XSS 零日漏洞 (CVE-2025-4123) 后,影响了超过 46,500 个活动实例,随后又出现了另外两个可以链接在一起的关键缺陷,从而显著增加了被利用的可能性。攻击者可以利用两个新发现的本地权限提升 (LPE) 漏洞(跟踪为 CVE-2025-6018 和 CVE-2025-6019)来获得运行主要 Linux 发行版的系统的根级权限。
随着报告的 CVE 数量不断攀升,漏洞利用仍然是一个关键的安全问题。截至 2025 年 6 月,已披露 22,000+ 个漏洞,比 2024 年同期增加了 16%,凸显了防御者需要跟上步伐的压力越来越大。
注册 SOC Prime 平台以访问全球主动威胁源,提供可作的 CTI 和精选的检测规则,以主动防御新出现的威胁,包括关键的零日威胁和已知漏洞。安全工程师可以访问由“CVE”标记的经过验证的 Sigma 规则的全面集合,这些规则由完整的产品套件提供支持,用于 AI 驱动的检测工程、自动威胁搜寻和高级威胁检测。
所有检测算法都可以自动转换为多种 SIEM、EDR 和数据湖格式,以促进跨平台威胁检测,并映射到 MITRE ATT&CK® 以简化威胁研究。每条规则还丰富了 CTI 链接、攻击时间线、审计配置、分类建议和更深入的元数据。单击 Explore Detections 按钮,向下钻取到相关的检测堆栈,以解决由 “CVE” 标签筛选的当前和现有漏洞。
探索检测
安全工程师还可以利用充当 AI 副驾驶的 Uncoder AI,为检测工程师提供端到端支持,同时加快工作流程并提高覆盖范围。借助 Uncoder,安全团队可以立即将 IOC 转换为自定义搜寻查询,从 AI 支持的实时威胁报告中制作检测代码,使用自定义 AI 提示生成 SOC 内容,采用语法验证和检测逻辑优化以提高代码质量,自动可视化攻击流,并使用 MITRE ATT&CK(子)技术丰富 Sigma 规则。
CVE-2025-6018 和 CVE-2025-6019 分析
Qualys 研究人员最近发现了两个新的 LPE 漏洞,这些漏洞可以协同使用,为攻击者开绿灯,让他们在使用广泛采用的 Linux 发行版的系统上获得 root 访问权限。
第一个缺陷 CVE-2025-6018 源于 openSUSE Leap 15 和 SUSE Linux Enterprise 15 上的 PAM 错误配置,它允许本地用户将权限升级到“allow_active”用户的权限。
第二个问题 CVE-2025-6019 会影响 libblockdev,并允许“llow_active”用户通过将 udisks 守护程序(大多数 Linux 环境中的默认存储管理服务)武器化来将权限提升到 root。
这些现代的 local-to-root 漏洞有效地消除了标准用户会话和完整系统控制之间的差距。通过组合受信任的系统组件,如 udisks 循环挂载和 PAM/环境错误配置,可以访问任何活动 GUI 或 SSH 会话的攻击者可以在几秒钟内快速绕过“allow_active”信任边界并升级到 root 权限。研究人员强调,尽管这些漏洞在技术上需要“allow_active”权限,但大多数 Linux 发行版都默认启用 udisk,这意味着几乎所有系统都处于危险之中。此外,像披露的 PAM 问题这样的缺陷进一步削弱了获得“allow_active”访问权限的任何障碍。
获得 root 权限后,攻击者可以完全控制系统,修改安全配置,部署持久性后门,并将机器用作进一步攻击的启动板。
root 访问会带来严重风险,允许攻击者禁用 EDR 工具、安装持久性后门并更改在重启后继续存在的系统设置。单个受损的服务器可能很快导致整个队列的受损,尤其是当默认软件包成为目标时。
Qualys 开发了 PoC 漏洞,在多个发行版(包括 Ubuntu、Debian、Fedora 和 openSUSE Leap 15)中验证了这些漏洞。
作为潜在的 CVE-2025-6018 和 CVE-2025-6019 缓解步骤,以最大限度地减少暴露,用户应立即应用其 Linux 供应商提供的补丁。作为临时解决方法,建议调整 org.freedesktop.udisks2.modify-device 的 Polkit 规则,以要求管理员身份验证 (auth_admin)。
链接 CVE-2025-6018 和 CVE-2025-6019 允许 SUSE 15 或 Leap 15 上的任何 SSH 用户仅使用默认 PAM 和 udisks 设置将权限从标准用户提升为 root。这大大增加了全球组织的威胁级别。一旦获得 root 访问权限,攻击者就可以禁用安全工具、保持持久性并横向转向,从而对整个环境构成风险,这需要防御者立即主动响应以防止潜在的违规行为。SOC Prime 策划了一个完整的产品套件,以 AI、自动化功能、实时威胁情报为后盾,并基于零信任原则构建,可帮助组织抵御网络威胁,无论其复杂程度如何。
