Июнь 2025: Новые критические уязвимости в Linux и рост киберугроз
Июнь стал непростым месяцем для специалистов по кибербезопасности — в этом месяце было обнаружено несколько опасных уязвимостей, способных значительно повлиять на уровень угроз. После выявления XSS-уязвимости нулевого дня в Grafana (CVE-2025-4123), затронувшей более 46 500 активных экземпляров, исследователи обнаружили ещё две критические проблемы (CVE-2025-6018 и CVE-2025-6019), которые можно использовать в связке для повышения привилегий до root в популярных дистрибутивах Linux.
Рост числа уязвимостей и нагрузка на защитников
По данным на июнь 2025 года, было зарегистрировано более 22 000 уязвимостей, что на 16% превышает показатели аналогичного периода 2024-го. Такая динамика подтверждает растущее давление на команды безопасности, которым приходится оперативно реагировать на новые угрозы.
Как защититься от новых угроз?
Для своевременного обнаружения атак, включая эксплуатацию zero-day и известных уязвимостей, можно использовать платформу SOC Prime. Она предоставляет актуальную разведывательную информацию (CTI), готовые правила детектирования Sigma и инструменты для автоматизированного поиска угроз. Все алгоритмы детектирования поддерживают конвертацию в форматы популярных SIEM, EDR и Data Lake-решений, а также привязаны к тактикам MITRE ATT&CK® для удобства анализа.
Кроме того, специалисты могут применять Uncoder AI — инструмент на основе искусственного интеллекта, который помогает ускорить создание правил детектирования, преобразовывать индикаторы компрометации (IOC) в поисковые запросы и автоматически визуализировать Attack Flow.
Анализ CVE-2025-6018 и CVE-2025-6019
Исследователи Qualys выявили две новые уязвимости, позволяющие злоумышленнику получить полный контроль над системой:
- CVE-2025-6018 — ошибка конфигурации PAM в openSUSE Leap 15 и SUSE Linux Enterprise 15, дающая возможность повысить привилегии до уровня пользователя allow_active.
- CVE-2025-6019 — уязвимость в libblockdev, которая позволяет пользователю allow_active получить права root через udisks (стандартный сервис управления хранилищем в Linux).
Эти уязвимости устраняют барьер между обычным пользователем и полным контролем над системой. Поскольку udisks включён по умолчанию в большинстве дистрибутивов, а PAM-конфигурации часто остаются без изменений, злоумышленник с доступом к GUI или SSH-сессии может быстро эскалировать привилегии.
Последствия эксплуатации
Получив root-доступ, злоумышленники могут:
- Отключать системы защиты (EDR/XDR).
- Устанавливать бэкдоры с персистентностью.
- Использовать сервер как плацдарм для атак на другие узлы сети.
Рекомендации по защите
- Установить обновления от вендоров Linux как можно скорее.
- Временно ограничить права Polkit для org.freedesktop.udisks2.modify-device, потребовав аутентификацию администратора (auth_admin).
Вывод
Связка CVE-2025-6018 и CVE-2025-6019 представляет серьёзную угрозу, особенно для корпоративных сетей. Получив root-доступ, злоумышленники могут не только контролировать систему, но и распространять атаку на всю инфраструктуру. Командам безопасности необходимо срочно принять меры, чтобы минимизировать риски.
Использование современных платформ, таких как SOC Prime, помогает автоматизировать обнаружение угроз и быстрее реагировать на инциденты, снижая нагрузку на SOC-команды.