Мільйони систем Linux та Unix зазнали серйозних ризиків для безпеки через появу дві вразливості в Sudo, фундаментальний інструмент, який дозволяє користувачам виконувати команди з підвищеними правами доступу контрольованим чином. Ці недоліки, визначені як CVE-2025-32462 y CVE-2025-32463, нещодавно були проаналізовані та представлені експертами з кібербезпеки, які попереджають про їхній вплив та терміновість застосування виправлень.
Це відкриття змусило системних адміністраторів та компанії бути напоготові, оскільки Sudo присутній за замовчуванням у більшості дистрибутивів GNU/Linux та подібних системах, таких як macOS. Обидві помилки дозволяють ескалацію привілеїв з облікових записів без прав адміністратора, що ставить під загрозу цілісність уражених комп’ютерів.
Що таке Sudo і чому це так важливо?
Sudo — це важлива утиліта в середовищах Unix, використовується для виконання адміністративних завдань без необхідності входу в систему як rootЦей інструмент пропонує детальний контроль над тим, які користувачі можуть виконувати певні команди, допомагаючи підтримувати принцип найменших привілеїв та реєструючи всі дії для цілей аудиту.
Конфігурація Sudo керується з файлу / etc / sudoers, що дозволяє визначати конкретні правила на основі користувача, команди або хоста, що є поширеною практикою для посилення безпеки у великих інфраструктурах.
Технічні деталі вразливостей Sudo
CVE-2025-32462: Помилка опції хоста
Ця вразливість була прихована в коді Sudo понад десять років., що стосується стабільних версій з 1.9.0 до 1.9.17 та застарілих версій з 1.8.8 до 1.8.32. Його походження лежить у опції -h o --host, який спочатку має бути обмежений переліком привілеїв для інших комп'ютерів Однак, через збій керування, його можна використовувати для виконання команд або редагування файлів від імені root у самій системі.
Вектор атаки використовує певні конфігурації, де правила Sudo обмежені певними хостами або шаблонами імен хостів.Таким чином, локальний користувач може обдурити систему, вдаючи, що виконує команди на іншому авторизованому хості, та отримати root-доступ. без необхідності складного експлойту.
Експлуатація цієї помилки викликає особливе занепокоєння в корпоративних середовищах, де директиви Host або Host_Alias зазвичай використовуються для сегментації доступу. Додатковий код експлойту не потрібен, просто викличте Sudo з опцією -h і хост, якому дозволено обходити обмеження.
CVE-2025-32463: Зловживання функцією Chroot
У випадку CVE-2025-32463, серйозність більша: Вада, впроваджена у версії 1.9.14 від 2023 року у функції chroot, дозволяє будь-якому локальному користувачеві виконувати довільний код зі шляхів під його контролем, отримуючи привілеї адміністратора.
Атака базується на маніпуляціях системою комутатора служби імен (NSS). Запускаючи Sudo з опцією -R (chroot) та встановити каталог, контрольований зловмисником, як root, Sudo завантажує конфігурації та бібліотеки з цього маніпульованого середовища. Зловмисник може примусово завантажити шкідливу спільну бібліотеку (наприклад, через /etc/nsswitch.conf (підроблений та бібліотека, підготовлена в кореневому chroot-дистрибутиві) для отримання root-оболонки в системі. Існування цієї вразливості було підтверджено в кількох дистрибутивах, тому бажано бути в курсі останніх оновлень.
Простоту цієї методики було перевірено в реальних сценаріях, використовуючи лише компілятор C для створення бібліотеки та запуску відповідної команди за допомогою Sudo. Не потрібно жодних технічних складнощів чи налаштувань.
Ці дві вразливості були підтверджені в останніх версіях Ubuntu, Fedora та macOS Sequoia, хоча інші дистрибутиви також можуть бути уражені. Для кращого захисту важливо встановити оновлення, рекомендовані розробниками.
Що повинні робити адміністратори та користувачі
Єдиний ефективний захід — це оновлення Sudo. до версії 1.9.17p1 або новішої, оскільки в цьому випуску розробники виправили обидві проблеми: Використання параметра host обмежено законними умовами, а шлях до функції chroot та керування бібліотеками було змінено.Основні дистрибутиви, такі як Ubuntu, Debian, SUSE та Red Hat, вже випустили відповідні патчі, а їхні репозиторії мають захищені версії.
Експерти з безпеки також рекомендують перевірте файли /etc/sudoers y /etc/sudoers.d знайти можливі способи використання директив Host або Host_Alias та перевірити, чи немає правил, які дозволяють використовувати цю помилку.
Ефективних альтернативних рішень немає. Якщо ви не можете оновити негайно, рекомендується уважно стежити за обмеженнями доступу та адміністрації, хоча ризик розкриття залишається високим. Щоб дізнатися більше про заходи та рекомендації, див. цей посібник про оновлення безпеки в Linux.
Цей інцидент підкреслює важливість регулярних перевірок безпеки та підтримки актуальності таких важливих компонентів, як Sudo. Існування прихованих недоліків протягом понад десятиліття в такій поширеній утиліті є яскравим нагадуванням про небезпеку сліпого покладання на інфраструктурні інструменти без постійного перегляду.
Виявлення цих вразливостей у Sudo підкреслює важливість проактивних стратегій встановлення патчів та аудиту. Адміністраторам та організаціям слід переглядати свої системи, встановлювати доступні патчі та пильно стежити за майбутніми проблемами, що впливають на критичні компоненти операційної системи.
