Милиони Linux и Unix системи са изложени на сериозни рискове за сигурността поради появата на две уязвимости в Sudo, основен инструмент, който позволява на потребителите да изпълняват команди с повишени разрешения по контролиран начин. Тези недостатъци, идентифицирани като CVE-2025 32462- y CVE-2025 32463-, бяха наскоро анализирани и докладвани от експерти по киберсигурност, предупреждавайки за тяхното въздействие и спешната необходимост от прилагане на корекции.
Откритието е накарало системните администратори и компаниите да бъдат нащрек, тъй като Sudo е наличен по подразбиране в повечето дистрибуции на GNU/Linux и подобни системи, като macOS. И двата бъга позволяват ескалация на привилегиите от акаунти без администраторски права, което компрометира целостта на засегнатите компютри.
Какво е Sudo и защо е толкова важно?
Sudo е основна помощна програма в Unix среди, използва се за изпълнение на административни задачи, без да е необходимо да влизате като rootТози инструмент предоставя подробен контрол върху това кои потребители могат да изпълняват определени команди, като по този начин помага за поддържане на принципа на най-малки привилегии и регистриране на всички действия за целите на одита.
Конфигурацията на Sudo се управлява от файла / и т.н. / sudoers, което ви позволява да дефинирате специфични правила въз основа на потребител, команда или хост, често срещана практика за засилване на сигурността в големи инфраструктури.
Технически подробности за уязвимостите в Sudo
CVE-2025-32462: Грешка в опцията за хост
Тази уязвимост беше скрита в кода на Sudo повече от десетилетие., засягайки стабилните версии от 1.9.0 до 1.9.17 и старите версии от 1.8.8 до 1.8.32. Произходът му се крие в опцията -h o --host, което първоначално трябва да бъде ограничено до изброяване на привилегиите за други компютри Въпреки това, поради повреда в контрола, той може да се използва за изпълнение на команди или редактиране на файлове като root в самата система.
Векторът на атака използва специфични конфигурации, при които правилата на Sudo са ограничени до определени хостове или модели на имена на хостове.По този начин, локален потребител може да заблуди системата, като се преструва, че изпълнява команди на друг оторизиран хост и получава root достъп. без да е необходима сложна експлоатация.
Експлоатацията на този бъг е особено тревожна в корпоративни среди, където директивите Host или Host_Alias често се използват за сегментиране на достъпа. Не е необходим допълнителен експлойт код, просто извикайте Sudo с опцията -h и хост, на когото е позволено да заобикаля ограниченията.
CVE-2025-32463: Злоупотреба с функцията Chroot
В случай на CVE-2025-32463, тежестта е по-голяма: Грешка, въведена във версия 1.9.14 от 2023 г. във функцията chroot, позволява на всеки локален потребител да изпълнява произволен код от пътища под свой контрол, получавайки администраторски права.
Атаката е базирана на манипулиране на системата Name Service Switch (NSS). Чрез стартиране на Sudo с опцията -R (chroot) и задаване на директория, контролирана от атакуващия като root, Sudo зарежда конфигурации и библиотеки от тази манипулирана среда. Атакуващ може да принуди зареждането на злонамерена споделена библиотека (например, чрез /etc/nsswitch.conf (фалшива и библиотека, подготвена в root chroot), за да се получи root shell на системата. Съществуването на този недостатък е потвърдено в няколко дистрибуции, така че е препоръчително да сте в крак с най-новите актуализации.
Простотата на тази техника е потвърдена в реални сценарии, като се използва само C компилатор за създаване на библиотеката и стартиране на съответната команда със Sudo. Не се изисква техническа сложност или сложни конфигурации.
Тези две уязвимости са потвърдени в последните версии на Ubuntu, Fedora и macOS Sequoia, въпреки че е възможно и други дистрибуции да са засегнати. За по-голяма защита е важно да се прилагат актуализациите, препоръчани от разработчиците.
Какво трябва да правят администраторите и потребителите
Единствената ефективна мярка е да се актуализира Sudo до версия 1.9.17p1 или по-нова, тъй като в тази версия разработчиците са отстранили и двата проблема: Опцията host е ограничена до легитимна употреба, а функцията chroot е получила промени в пътя и управлението на библиотеките.Основни дистрибуции, като Ubuntu, Debian, SUSE и Red Hat, вече са пуснали съответните пачове, а техните хранилища имат защитени версии.
Експертите по сигурността също препоръчват одит на файловете /etc/sudoers y /etc/sudoers.d да се открият възможни приложения на директивите Host или Host_Alias и да се провери дали няма правила, които позволяват експлоатирането на грешката.
Няма ефективни алтернативни решения. Ако не можете да актуализирате незабавно, препоръчително е да следите отблизо ограниченията за достъп и административните ограничения, въпреки че рискът от излагане остава висок. За да научите повече за мерките и препоръките, вижте това ръководство на актуализации на сигурността в Linux.
Този инцидент подчертава важността на редовните проверки за сигурност и поддържането на актуални основни компоненти като Sudo. Съществуването на скрити недостатъци в продължение на повече от десетилетие в такава широко разпространена програма е сурово напомняне за опасностите от сляпото разчитане на инфраструктурни инструменти без постоянен преглед.
Откриването на тези уязвимости в Sudo подчертава важността на проактивните стратегии за инсталиране на корекции и одит. Администраторите и организациите трябва да преглеждат своите системи, да прилагат налични корекции и да бъдат бдителни за бъдещи проблеми, засягащи критични компоненти на операционната система.
