De dagelijkse dreigingen voor Linux-servers: een gesprek met David Carrero (Stackscale)
In een steeds meer geautomatiseerde en blootgestelde infrastructuur is de beveiliging van Linux-servers in 2025 op een kritisch punt aangekomen. Volgens David Carrero, mede-oprichter van Stackscale en expert op het gebied van kritische platforms, is de druk op systeem- en beveiligingsteams toegenomen. “De dreigingen zijn niet langer toekomstmuziek; ze zijn alledaags. Veerkracht begint in de kern van het systeem,” zegt Carrero.
De huidige beveiligingsuitdagingen
Met de toegenomen verspreiding van geavanceerde exploits en het voortdurende misbruik van bekende kwetsbaarheden, is er een dringende behoefte aan strategische veranderingen in de architectuur van systeembeveiliging. Carrero benadrukt dat het niet meer voldoende is om alleen patches toe te passen. “We moeten heroverwegen hoe we de architectuur van beveiliging vanaf de basis opbouwen, van firmware tot applicatielaag.”
Zeven kritieke kwetsbaarheden in 2025
1. Escalada van privileges in SUSE en udisks2
Kwetsbaarheden CVE-2025-6018 en CVE-2025-6019 stellen een niet-geprivilegieerde SSH-gebruiker in staat om root-toegang te verkrijgen door de configuratie van PAM en udisks2 te misbruiken. Directe mitigatie omvat het toepassen van patches en het aanpassen van Polkit-instellingen.
2. Remote code execution en MITM in OpenSSH
De kwetsbaarheden in OpenSSH (CVE-2025-26465 en CVE-2025-26466) kunnen leiden tot man-in-the-middle aanvallen. Upgraden naar OpenSSH 9.9p2 wordt aanbevolen, evenals het inschakelen van strikte host sleutelcontrole.
3. Synchronisatiefouten in de kernel
Kwetsbaarheden (CVE-2025-1023 en CVE-2025-1087) die zich voordoen in oudere kernelversies kunnen leiden tot escalatie van privileges en denial-of-service situaties. Het installeren van geüpdatete kernels en activeren van beveiligingsfuncties zijn belangrijke stappen.
4. Spectre-v2 “Training Solo”
Nieuwe aanvallen op moderne CPUs die traditionele mitigaties zoals IBPB en eIBRS ondermijnen. Het bijwerken van microcode en het isoleren van multi-tenant workloads zijn cruciaal.
5. Moderne SSRF kwetsbaarheden in cloud API’s
De SSRF-aanvallen kunnen toegang bieden tot gevoelige metadata. Het beperken van interne IP-ranges en het valideren van URL’s zijn belangrijke tegenmaatregelen.
6. Kwetsbaarheden in verkeerd geconfigureerde containers
Het escapen van containers die niet goed zijn geïsoleerd, leidt vaak tot escalatie van privileges. Het vermijden van privileged containers in productie en het inschakelen van hulpmiddelen zoals AppArmor zijn essentieel.
7. Gecompromitteerde of verouderde repositories
Incidenten zijn toegenomen door het gebruik van onbetrouwbare repositories. Het gebruik van alleen officiële, ondertekende repositories en het monitoren van onverwachte wijzigingen zijn cruciaal.
Conclusie
De kwetsbaarheden van dit jaar illustreren dat het aanvalsvlak zich heeft uitgebreid, van de kernel tot aan de buitenste lagen zoals API’s en containers. Carrero benadrukt: “De sleutel ligt niet alleen in het toepassen van patches, maar in het hebben van zichtbaarheid. Observability, configuratiebeheer en hardening-praktijken moeten vanaf het ontwerp worden geïntegreerd. Dat is het verschil tussen een veerkrachtig systeem en een blootgesteld systeem.”
In een wereld waar beschikbaarheid en vertrouwen cruciale factoren zijn, kan het herkennen en mitigeren van deze zeven kritieke kwetsbaarheden het verschil zijn tussen operationele continuïteit en een verwoestend beveiligingsincident.