Treceți la conținutul principal

Două vulnerabilități critice descoperite în Sudo permit escaladarea privilegiilor pe Linux

 

Au fost detectate două vulnerabilități (CVE-2025-32462 și CVE-2025-32463) în Sudo, permițând utilizatorilor locali să obțină acces root. Prima vulnerabilitate există de mai bine de 12 ani și afectează opțiunea host a Sudo; a doua exploatează funcția chroot. Exploatarea este simplă și a fost testată pe distribuții populare precum Ubuntu și Fedora, precum și pe macOS Sequoia. Singura soluție eficientă este actualizarea la Sudo 1.9.17p1 sau superior, deoarece nu există măsuri alternative de mitigare.

Milioane de sisteme Linux și Unix au fost expuse la grave riscuri de securitate datorită apariției a două vulnerabilități în Sudo, o unealtă fundamentală care permite utilizatorilor să execute comenzi cu permisiuni ridicate într-un mod controlat. Aceste defecte, identificate ca CVE-2025-32462 și CVE-2025-32463, au fost analizate și raportate recent de experți în cibersecuritate, alertând asupra impactului lor și urgenta aplicării de patch-uri.

Descoperirea a pus în alertă administratorii de sisteme și companii, deoarece Sudo este prezent în mod implicit în majoritatea distribuțiilor GNU/Linux și sisteme similare, cum ar fi macOS. Ambele erori permit escaladarea privilegiilor de la conturi fără permisiuni administrative, compromițând integritatea echipamentelor afectate.

Ce este Sudo și de ce este atât de important?

Sudo este o utilitate esențială în medii Unix, utilizată pentru a executa sarcini administrative fără a fi nevoie să te autentifici ca root. Această unealtă oferă control detaliat asupra utilizatorilor care pot executa anumite comenzi, ajutând la menținerea principului celui mai mic privilegiu și înregistrând toate acțiunile pentru audit.

Configurarea Sudo este gestionată din fișierul /etc/sudoers, permițând definirea unor reguli specifice în funcție de utilizator, comandă sau host, o practică comună pentru a întări securitatea în infrastructuri mari.

Detalii tehnice ale vulnerabilităților Sudo

CVE-2025-32462: defect în opțiunea host

Această vulnerabilitate era camuflată de mai bine de un deceniu în codul Sudo, afectând versiunile stabile de la 1.9.0 până la 1.9.17 și versiunile legacy de la 1.8.8 până la 1.8.32. Originea sa se află în opțiunea -h sau --host, care inițial ar trebui să se limiteze la listarea privilegiilor pentru alte echipamente, dar, din cauza unei erori de control, poate fi utilizată pentru a executa comenzi sau a edita fișiere ca root în sistemul propriu.

Vectorul de atac exploatează configurări specifice în care regulile Sudo sunt restrânse la anumiți hosti sau modele de nume de host. Astfel, un utilizator local poate înșela sistemul simulând că execută ordine pe un alt host permis și poate obține acces root fără a avea nevoie de un exploit complex.

Exploatarea acestui bug este deosebit de îngrijorătoare în medii de afaceri, unde directivele Host sau Host_Alias sunt obișnuite pentru a segmenta accesul. Nu necesită cod de exploatare suplimentar, este suficient să invoce Sudo cu opțiunea -h și un host permis pentru a ocoli restricțiile.

CVE-2025-32463: abuzul funcției chroot

În cazul CVE-2025-32463, gravitatea este mai mare: o eroare introdusă în versiunea 1.9.14 din anul 2023 în funcția chroot permite oricărui utilizator local să execute cod arbitrar din căi sub controlul său, obținând privilegii de administrator.

Atacul se bazează pe manipularea sistemului Name Service Switch (NSS). La executarea Sudo cu opțiunea -R (chroot) și stabilirea ca rădăcină a unui director controlat de atacant, Sudo încărcă configurări și biblioteci din acest mediu manipulat. Un atacant poate forța încărcarea unei biblioteci partajate malicioase (de exemplu, printr-un /etc/nsswitch.conf fals și o bibliotecă pregătită în rădăcina chroot) pentru a obține un shell de root în sistem. Existența acestei erori a fost confirmată în diferite distribuții, deci este recomandabil să te menții informat cu cele mai recente actualizări.

Simplitatea acestei tehnici a fost verificată în scenarii reale, folosind doar un compilator C pentru a crea biblioteca și lansând comanda adecvată cu Sudo. Nu este necesară sofisticare tehnică sau exploatarea unor configurări complicate.

Aceste două vulnerabilități au fost testate pe versiuni recente de Ubuntu, Fedora și macOS Sequoia, deși alte distribuții ar putea fi, de asemenea, afectate. Pentru o protecție mai mare, este esențial să aplici actualizările recomandate de dezvoltatori.

Ce ar trebui să facă administratorii și utilizatorii?

Singura măsură eficientă este actualizarea Sudo la versiunea 1.9.17p1 sau mai recentă, deoarece în această ediție dezvoltatorii au corectat ambele probleme: opțiunea host a fost restrânsă la utilizarea sa legitimă și funcția chroot a primit modificări în gestionarea căilor și bibliotecilor. Principalele distribuții, cum ar fi Ubuntu, Debian, SUSE și Red Hat, au publicat deja patch-urile corespunzătoare și repozitoriile lor conțin versiuni sigure.

Experții în securitate recomandă, de asemenea, auditarea fișierelor /etc/sudoers și /etc/sudoers.d pentru a localiza posibilele utilizări ale directivelor Host sau Host_Alias și pentru a verifica că nu există reguli care să permită exploatarea bug-ului.

Nu există soluții alternative eficiente. În cazul în care nu se poate actualiza imediat, se recomandă monitorizarea foarte atentă a acceselor și restricțiilor administrative, deși riscul de expunere rămâne ridicat.

Acest incident subliniază importanța verificărilor periodice de securitate și a menținerii la zi a componentelor esențiale precum Sudo. Existența unor defecte ascunse timp de mai bine de un deceniu într-o utilitate atât de răspândită este un puternic memento al pericolelor de a avea încredere orbă în instrumentele de infrastructură fără o revizuire constantă.

Detectarea acestor vulnerabilități în Sudo subliniază relevanța de a avea strategii proactive de actualizare și audit. Administratorii și companiile trebuie să revizuiască sistemele lor, să aplice patch-urile disponibile și să rămână atenți la incidentele viitoare în componentele critice ale sistemului de operare.

Comentarii

Postări populare de pe acest blog

Containerizare nativă pe macOS: Apple lansează propriul „Distrobox”

  Editorial de: Andrei Popescu, Penguin Reviews În cadrul Conferinței Globale a Dezvoltatorilor (WWDC25), Apple a prezentat „Containerization” – un nou framework open‑source care aduce pe macOS, bazat pe Apple Silicon, un mecanism performant și sigur pentru rularea distribuțiilor Linux in containere, similar ideii de Distrobox sau WSL . 🔹 Ce este Containerization? Framework în Swift : scris integral într-un limbaj modern, se bazează pe Virtualization.framework și rulează fiecare container Linux într‑o mașină virtuală ultra‑ușoară , asigurând izolare completă la nivel de kernel . Performanţă ridicată : containerele pornesc în câteva milisecunde, folosind dinamic doar resursele necesare, datorită accelerării hardware oferite de cipurile ARM Apple . Protecție avansată : fiecare container rulează separat, eliminând riscurile asociate scăpărilor de procese între medii sau către sistemul gazdă . 🛠 Funcționalități cheie Funcționalitate Detalii Imagini OCI standard Compatibile c...

Kali GPT: asistentul AI care transformă pentesting‑ul

  Editorial de: Elena Marinescu, Penguin Reviews Într‑o mișcare revoluționară pentru comunitatea de securitate cibernetică, XIS10CIAL a lansat Kali GPT , un asistent AI conceput special pentru Kali Linux, bazat pe GPT‑4, care integrează inteligența artificială direct în terminal, redefinind modul în care se realizează testele de penetrare . 🔍 Ce aduce Kali GPT? Integrare în terminalul Kali – Kali GPT înțelege comenzi în limbaj natural, generează payloads, interpretează scanări Nmap, configurează Metasploit și explică tool‑uri precum Burp Suite, fără să părăsești shell‑ul . Asistent contextual – adaptează răspunsurile în funcție de nivel (începători vs. experți), oferind explicații simplify sau tehnice avansate . Automatizare AI – generează comenzi, script‑uri și payloads, reduce erorile umane și accelerează ciclul pentesting‑ului . Beneficii clare Productivitate sporită – reducerea semnificativă a timpului de research și documentare Învățare accelerată – e...

De ce Danemarca renunță la Microsoft Office și Windows în favoarea LibreOffice și Linux

  de Mihai Georgescu, editor colaborator Danemarca face un pas major în orientarea către suveranitatea digitală: sectorul public a început să înlocuiască Microsoft Office și Windows cu LibreOffice și distribuții Linux. Misunea este de a readuce controlul datelor în spațiul UE și de a diminua dependența de furnizori extra-comunitari. Motivele deciziei Guvernul danez a început tranziția pe baza a trei obiective prioritare: Suveranitate digitală – datele rămân sub control european, nu sunt transmise către servere non‑UE . Reducerea costurilor – eliminarea licențelor Microsoft și direcționarea fondurilor către dezvoltatori și companii locale. Securitate și interoperabilitate – standardizarea pe formate deschise (ODF) pentru o colaborare mai eficientă între instituții și cetățeni . Strategia de implementare Pilot gradual – implementări în etape, începând cu LibreOffice și Windows, urmate de trecerea la Linux — fără tranziția “brutală” în toate birourile deodată . Form...