Миллионы систем Linux и Unix подверглись серьезным угрозам безопасности из-за появления две уязвимости в Sudo, фундаментальный инструмент, который позволяет пользователям выполнять команды с повышенными разрешениями контролируемым образом. Эти недостатки, идентифицированные как CVE-2025-32462 y CVE-2025-32463, были недавно проанализированы и опубликованы экспертами по кибербезопасности, предупреждающими об их влиянии и срочности установки исправлений.
Это открытие заставило системных администраторов и компании насторожиться, поскольку Sudo по умолчанию присутствует в большинстве дистрибутивов GNU/Linux и аналогичных системах, таких как macOS. Обе ошибки допускают повышение привилегий. из учетных записей без административных разрешений, что ставит под угрозу целостность затронутых компьютеров.
Что такое Sudo и почему оно так важно?
Sudo — важная утилита в средах Unix. используется для запуска административных задач без необходимости входа в систему как rootЭтот инструмент обеспечивает детальный контроль над тем, какие пользователи могут выполнять определенные команды, помогая поддерживать принцип наименьших привилегий и регистрируя все действия для целей аудита.
Конфигурация Sudo управляется из файла / и т.д. / sudoers, что позволяет вам определять конкретные правила на основе пользователя, команды или хоста, что является распространенной практикой для усиления безопасности в крупных инфраструктурах.
Технические подробности уязвимостей Sudo
CVE-2025-32462: Ошибка параметра хоста
Эта уязвимость была скрыта в коде Sudo более десятилетия., влияющий на стабильные версии от 1.9.0 до 1.9.17 и устаревшие версии от 1.8.8 до 1.8.32. Его происхождение лежит в опции -h o --host, который изначально следует ограничиться перечислением привилегий для других компьютеров Однако из-за сбоя управления его можно использовать для выполнения команд или редактирования файлов от имени пользователя root в самой системе.
Вектор атаки использует определенные конфигурации, в которых правила Sudo ограничены определенными хостами или шаблонами имен хостов.. Таким образом, локальный пользователь может обмануть систему, сделав вид, что выполняет команды на другом авторизованном хосте, и получить права root. не требуя сложного эксплойта.
Эксплуатация этой ошибки особенно опасна в корпоративных средах, где директивы Host или Host_Alias обычно используются для сегментации доступа. Никакого дополнительного кода эксплойта не требуется, просто вызовите Sudo с опцией -h и хосту разрешено обходить ограничения.
CVE-2025-32463: Злоупотребление функцией Chroot
В случае CVE-2025-32463, уровень серьезности выше: Ошибка, появившаяся в версии 1.9.14 2023 года в функции chroot, позволяет любому локальному пользователю выполнять произвольный код из контролируемых им путей, получая права администратора.
Атака основана на манипуляции системой Name Service Switch (NSS). Запустив Sudo с опцией -R (chroot) и устанавливает каталог, контролируемый злоумышленником как root, Sudo загружает конфигурации и библиотеки из этой измененной среды. Злоумышленник может принудительно загрузить вредоносную общую библиотеку (например, через /etc/nsswitch.conf (поддельный и библиотека, подготовленная в chroot root) для получения root shell в системе. Наличие этой уязвимости подтверждено в нескольких дистрибутивах, поэтому рекомендуется оставаться в курсе последних обновлений.
Простота этого метода была проверена в реальных сценариях с использованием только компилятора C для создания библиотеки и запуска соответствующей команды с помощью Sudo. Не требуется никаких технических изысков или сложных конфигураций..
Эти две уязвимости были проверены в последних версиях Ubuntu, Fedora и macOS Sequoia, хотя другие дистрибутивы также могут быть затронуты. Для большей защиты важно применять обновления, рекомендуемые разработчиками.
Что должны делать администраторы и пользователи
Единственная эффективная мера — обновить Sudo до версии 1.9.17p1 или более поздней, так как в этом выпуске разработчики исправили обе проблемы: Параметр host был ограничен для законного использования, а функция chroot получила изменения в своем пути и управлении библиотеками.Основные дистрибутивы, такие как Ubuntu, Debian, SUSE и Red Hat, уже выпустили соответствующие исправления, а в их репозиториях имеются защищенные версии.
Эксперты по безопасности также рекомендуют аудит файлов /etc/sudoers y /etc/sudoers.d для выявления возможных вариантов использования директив Host или Host_Alias и для проверки отсутствия правил, позволяющих использовать ошибку.
Эффективных альтернативных решений нет. Если вы не можете обновить немедленно, рекомендуется внимательно следить за доступом и административными ограничениями, хотя риск заражения остается высоким. Чтобы узнать больше о мерах и рекомендациях, см. это руководство на обновления безопасности в Linux.
Этот инцидент подчеркивает важность регулярных проверок безопасности и поддержания таких важных компонентов, как Sudo, в актуальном состоянии. Существование скрытых недостатков в течение более десятилетия в такой распространенной утилите является суровым напоминанием об опасностях слепого доверия к инструментам инфраструктуры без постоянного обзора.
Обнаружение этих уязвимостей в Sudo подчеркивает важность проактивных стратегий исправления и аудита. Администраторы и организации должны проверять свои системы, применять доступные исправления и сохранять бдительность в отношении будущих проблем, влияющих на критические компоненты операционной системы.
