Miliony linuxových a unixových systémů byly vystaveny vážným bezpečnostním rizikům kvůli vzniku... dvě zranitelnosti v Sudo, základní nástroj, který umožňuje uživatelům kontrolovaným způsobem spouštět příkazy se zvýšenými oprávněními. Tyto nedostatky, identifikované jako CVE-2025-32462 y CVE-2025-32463, byly nedávno analyzovány a popsány experty na kybernetickou bezpečnost, kteří varují před jejich dopadem a naléhavostí instalace záplat.
Tento objev upozornil systémové administrátory a firmy, protože Sudo je standardně přítomno ve většině distribucí GNU/Linuxu a podobných systémů, jako je macOS. Obě chyby umožňují eskalaci oprávnění z účtů bez administrátorských oprávnění, což ohrožuje integritu postižených počítačů.
Co je Sudo a proč je tak důležité?
Sudo je nezbytný nástroj v unixových prostředích, používá se ke spouštění administrativních úloh bez nutnosti přihlašování jako rootTento nástroj nabízí podrobnou kontrolu nad tím, kteří uživatelé mohou provádět určité příkazy, což pomáhá dodržovat princip nejnižších oprávnění a zaznamenává všechny akce pro účely auditu.
Konfigurace Sudo se spravuje ze souboru / etc / sudoers, což vám umožňuje definovat specifická pravidla na základě uživatele, příkazu nebo hostitele, což je běžná praxe pro posílení zabezpečení ve velkých infrastrukturách.
Technické detaily zranitelností Sudo
CVE-2025-32462: Chyba možnosti hostitele
Tato zranitelnost byla v kódu Sudo skryta více než deset let., který ovlivňuje stabilní verze od 1.9.0 do 1.9.17 a starší verze od 1.8.8 do 1.8.32. Jeho původ spočívá ve volbě -h o --host, který zpočátku by mělo být omezeno na výpis oprávnění pro ostatní počítače Kvůli selhání ovládání jej však lze použít ke spouštění příkazů nebo úpravě souborů jako root v samotném systému.
Vektor útoku využívá specifické konfigurace, kde jsou pravidla Sudo omezena na určité hostitele nebo vzory názvů hostitelů.Místní uživatel tak může systém oklamat tím, že předstírá, že spouští příkazy na jiném autorizovaném hostiteli a získá root přístup. bez nutnosti složitého zneužití.
Zneužívání této chyby je obzvláště znepokojivé v podnikových prostředích, kde se k segmentaci přístupu běžně používají direktivy Host nebo Host_Alias. Není potřeba žádný další exploit kód, stačí spustit Sudo s volbou -h a hostitel, kterému je povoleno obejít omezení.
CVE-2025-32463: Zneužití funkce Chroot
V případě CVE-2025-32463, závažnost je vyššíChyba zavedená ve verzi 1.9.14 z roku 2023 ve funkci chroot umožňuje libovolnému lokálnímu uživateli spustit libovolný kód z cest, které má pod kontrolou, a získat tak administrátorská oprávnění.
Útok je založen na manipulaci se systémem Name Service Switch (NSS). Spuštěním Sudo s volbou -R (chroot) a nastavit adresář ovládaný útočníkem jako root, Sudo načte konfigurace a knihovny z tohoto manipulovaného prostředí. Útočník může vynutit načtení škodlivé sdílené knihovny (například prostřednictvím /etc/nsswitch.conf (falešný a knihovna připravená v kořenovém chrootu) pro získání root shellu v systému. Existence této chyby byla potvrzena v několika distribucích, proto je vhodné sledovat nejnovější aktualizace.
Jednoduchost této techniky byla ověřena v reálných situacích, kdy se k vytvoření knihovny použil pouze kompilátor jazyka C a příslušný příkaz se spustil pomocí Sudo. Není vyžadována žádná technická náročnost ani složité konfigurace.
Tyto dvě zranitelnosti byly ověřeny v nedávných verzích systémů Ubuntu, Fedora a macOS Sequoia, ačkoli mohou být ovlivněny i jiné distribuce. Pro větší ochranu je nezbytné nainstalovat aktualizace doporučené vývojáři.
Co by měli administrátoři a uživatelé dělat
Jediným účinným opatřením je aktualizace Sudo. na verzi 1.9.17p1 nebo novější, protože v této verzi vývojáři opravili oba problémy: Možnost hostitele byla omezena na legitimní použití a funkce chroot prošla změnami v cestě a správě knihoven.Hlavní distribuce, jako Ubuntu, Debian, SUSE a Red Hat, již vydaly odpovídající záplaty a jejich repozitáře obsahují zabezpečené verze.
Bezpečnostní experti také doporučují auditovat soubory /etc/sudoers y /etc/sudoers.d najít možná použití direktiv Host nebo Host_Alias a ověřit, že neexistují žádná pravidla, která by umožňovala zneužití chyby.
Neexistují žádná účinná alternativní řešení. Pokud nemůžete aktualizovat okamžitě, doporučuje se pečlivě sledovat přístupová a administrativní omezení, i když riziko vystavení riziku zůstává vysoké. Více informací o opatřeních a doporučeních naleznete v této příručce. bezpečnostní aktualizace v Linuxu.
Tento incident podtrhuje důležitost pravidelných bezpečnostních kontrol a udržování základních komponent, jako je Sudo, v aktuálním stavu. Existence skrytých nedostatků v tak rozšířeném nástroji po více než deset let je drsnou připomínkou nebezpečí slepého spoléhání se na infrastrukturní nástroje bez neustálé kontroly.
Detekce těchto zranitelností v Sudo podtrhuje důležitost proaktivních strategií pro opravy a audit. Administrátoři a organizace by měli kontrolovat své systémy, používat dostupné opravy a zůstat ostražití ohledně budoucích problémů ovlivňujících kritické komponenty operačního systému.
