CVE-2025-6018 ve CVE-2025-6019: Yeni Tehditler
Son dönemde, Linux dağıtımlarında kullanılan iki önemli yerel yetki yükseltme (LPE) açığı keşfedilmiştir. Bu güvenlik açıkları, saldırganların sistemlere root aksesine sahip olmalarına olanak tanımaktadır. İlk açık, CVE-2025-6018 kodu ile tanımlanmış olup, openSUSE Leap 15 ve SUSE Linux Enterprise 15 işletim sistemlerinde bulunan Pluggable Authentication Modules (PAM) çerçevesinin yapılandırmasında tespit edilmiştir. Bu açık, yerel saldırganların "allow_active" kullanıcısının yetkilerini kazanmasına olanak sağlamaktadır.
İkinci açık ise CVE-2025-6019 olarak adlandırılmakta ve bu açık, libblockdev kütüphanesinde bulunmuştur. Bu, "allow_active" kullanıcısının udisks daemon’u aracılığıyla root izinleri elde etmesini mümkün kılmaktadır. Udisks, çoğu Linux dağıtımında varsayılan olarak çalışan bir depolama yönetim servisidir.
Saldırganların Elde Ettiği Avantajlar
Bu iki güvenlik açığının bir kısmını bir "yerel-çok-oluşan "local-to-root" zincir saldırısı olarak kullanmayı başaran saldırganlar, hızlı bir şekilde root erişimi elde edebilir ve sistemin kontrolünü tamamen ele geçirebilir. Özellikle libblockdev/udisks açığı, kendi başına son derece tehlikeli bir durum ortaya koymaktadır. Qualys TRU kıdemli yöneticisi Saeed Abbasi , "Gerçi nominal olarak ‘allow_active’ yetkileri gerektiriyor, ancak udisks, neredeyse tüm Linux dağıtımlarında varsayılan olarak mevcut, bu nedenle neredeyse her sistem savunmasız" demektedir.
"Saldırganlar, burada açıklanan PAM sorunu da dahil olmak üzere ‘allow_active’ erişim niteliği kazanmanın yollarını bulunmaktadır. Açıkların iki tanesi birleştirildiğinde, saldırganların minimum çaba ile derhal root erişimi kazanmasının önünü açmaktadır." şeklinde devam etmektedir.
PAM ve libblockdev/udisks Açıklarının Önemi
Qualys’ın Tehdit Araştırma Birimi (TRU), bu güvenlik açıklarını keşfetmiş ve raporlamıştır. Ayrıca, CVE-2025-6019 için bir proof-of-concept (PoC) exploit geliştirmiştir ve bu exploit sayesinde Ubuntu, Debian, Fedora ve openSUSE Leap 15 sistemlerinde root yetkileri kazanmayı başarmıştır. Bu durum, açıkların kapanması için derhal düzeltme yapılmasının gerekliliğini ortaya koymaktadır.
Survivor, "Root erişimi, ajanların değiştirilmesi, sürekliliği ve yatay hareket sağlamak için kötüye kullanılabilir. Bu nedenle, bir yamanmamış sunucu tüm sistemi tehlikeye atar." diyerek, her yerde PAM ve libblockdev/udisks açıklarının kapatılması gerektiğinin altını çizmektedir.
Açıkların Yamanması Hakkında Öneriler
Qualys Güvenlik Danışmanlık ekibi bu iki güvenlik açığı hakkında bazı teknik detayları paylaşmış ve bu açılara yönelik yamanmaların burada bulunduğu bir Openwall gönderisine bağlantı vermiştir. "uzmanlar, bu durumu kritik ve evrensel bir risk olarak değerlendirmek ve yamaları gecikmeden yayımlamak zorundadır" dedi.
Son yıllarda, Qualys araştırmacıları, saldırganların, varsayılan yapılandırmalarında açık kalan Linux sistemlerini ele geçirebileceği başka birçok güvenlik açığı keşfetmiştir. Bu güvenlik açıkları arasında Polkit‘in pkexec bileşeninde bulunan bir açık (PwnKit), glibc‘nin ld.so dinamik yükleyicisinde (Looney Tunables), Kernel’in dosya sistemi katmanındaki bir açık (Sequoia) ve Sudo Unix programında (Baron Samedit) tespit edilen açılar bulunmaktadır.
Özellikle Looney Tunables açığı duyurulduktan kısa bir süre sonra, PoC exploitleri çevrimiçi olarak yayınlanmış ve bir ay sonra, saldırganlar bu açığı kullanarak cloud service provider (CSP) kimlik bilgilerini çalmaya başlamıştır.
Son olarak, Qualys geçtiğimiz yıllarda Ubuntu Linux 21.04 ve sonrası için varsayılan olarak kullanılan needrestart aracında 10 yılı aşkın süredir yer alan beş LPE açığı daha tespit etmiştir.
Sonuç Olarak
Kısacası, Linux sistem yöneticilerinin bu iki kritikte açıkla ilgili derhal güncellemeler yapması gerekmekte. Açıkların hızla kapatılması, sadece belirli sunucuların değil, tüm ağın güvenliği açısından hayati öneme sahiptir. Modern IT organizasyonlarının, bu tür açıkları otomatikleştirilmiş sistemlerle hızla çözmesi, güvenlik açılarını minimize etmesi kritik bir gereklilik haline gelmiştir. Bu bağlamda, patch uygulamalarının ihmal edilmemesi temin edilmeli ve hem bireysel sunucular hem de ağ düzeyindeki güvenlik her zaman ön planda tutulmalıdır.
