Au fost detectate două vulnerabilități (CVE-2025-32462 și CVE-2025-32463) în Sudo, permițând utilizatorilor locali să obțină acces root. Prima vulnerabilitate există de mai bine de 12 ani și afectează opțiunea host a Sudo; a doua exploatează funcția chroot. Exploatarea este simplă și a fost testată pe distribuții populare precum Ubuntu și Fedora, precum și pe macOS Sequoia. Singura soluție eficientă este actualizarea la Sudo 1.9.17p1 sau superior, deoarece nu există măsuri alternative de mitigare.
Milioane de sisteme Linux și Unix au fost expuse la grave riscuri de securitate datorită apariției a două vulnerabilități în Sudo, o unealtă fundamentală care permite utilizatorilor să execute comenzi cu permisiuni ridicate într-un mod controlat. Aceste defecte, identificate ca CVE-2025-32462 și CVE-2025-32463, au fost analizate și raportate recent de experți în cibersecuritate, alertând asupra impactului lor și urgenta aplicării de patch-uri.
Descoperirea a pus în alertă administratorii de sisteme și companii, deoarece Sudo este prezent în mod implicit în majoritatea distribuțiilor GNU/Linux și sisteme similare, cum ar fi macOS. Ambele erori permit escaladarea privilegiilor de la conturi fără permisiuni administrative, compromițând integritatea echipamentelor afectate.
Ce este Sudo și de ce este atât de important?
Sudo este o utilitate esențială în medii Unix, utilizată pentru a executa sarcini administrative fără a fi nevoie să te autentifici ca root. Această unealtă oferă control detaliat asupra utilizatorilor care pot executa anumite comenzi, ajutând la menținerea principului celui mai mic privilegiu și înregistrând toate acțiunile pentru audit.
Configurarea Sudo este gestionată din fișierul /etc/sudoers, permițând definirea unor reguli specifice în funcție de utilizator, comandă sau host, o practică comună pentru a întări securitatea în infrastructuri mari.
Detalii tehnice ale vulnerabilităților Sudo
CVE-2025-32462: defect în opțiunea host
Această vulnerabilitate era camuflată de mai bine de un deceniu în codul Sudo, afectând versiunile stabile de la 1.9.0 până la 1.9.17 și versiunile legacy de la 1.8.8 până la 1.8.32. Originea sa se află în opțiunea -h sau --host, care inițial ar trebui să se limiteze la listarea privilegiilor pentru alte echipamente, dar, din cauza unei erori de control, poate fi utilizată pentru a executa comenzi sau a edita fișiere ca root în sistemul propriu.
Vectorul de atac exploatează configurări specifice în care regulile Sudo sunt restrânse la anumiți hosti sau modele de nume de host. Astfel, un utilizator local poate înșela sistemul simulând că execută ordine pe un alt host permis și poate obține acces root fără a avea nevoie de un exploit complex.
Exploatarea acestui bug este deosebit de îngrijorătoare în medii de afaceri, unde directivele Host sau Host_Alias sunt obișnuite pentru a segmenta accesul. Nu necesită cod de exploatare suplimentar, este suficient să invoce Sudo cu opțiunea -h și un host permis pentru a ocoli restricțiile.
CVE-2025-32463: abuzul funcției chroot
În cazul CVE-2025-32463, gravitatea este mai mare: o eroare introdusă în versiunea 1.9.14 din anul 2023 în funcția chroot permite oricărui utilizator local să execute cod arbitrar din căi sub controlul său, obținând privilegii de administrator.
Atacul se bazează pe manipularea sistemului Name Service Switch (NSS). La executarea Sudo cu opțiunea -R (chroot) și stabilirea ca rădăcină a unui director controlat de atacant, Sudo încărcă configurări și biblioteci din acest mediu manipulat. Un atacant poate forța încărcarea unei biblioteci partajate malicioase (de exemplu, printr-un /etc/nsswitch.conf fals și o bibliotecă pregătită în rădăcina chroot) pentru a obține un shell de root în sistem. Existența acestei erori a fost confirmată în diferite distribuții, deci este recomandabil să te menții informat cu cele mai recente actualizări.
Simplitatea acestei tehnici a fost verificată în scenarii reale, folosind doar un compilator C pentru a crea biblioteca și lansând comanda adecvată cu Sudo. Nu este necesară sofisticare tehnică sau exploatarea unor configurări complicate.
Aceste două vulnerabilități au fost testate pe versiuni recente de Ubuntu, Fedora și macOS Sequoia, deși alte distribuții ar putea fi, de asemenea, afectate. Pentru o protecție mai mare, este esențial să aplici actualizările recomandate de dezvoltatori.
Ce ar trebui să facă administratorii și utilizatorii?
Singura măsură eficientă este actualizarea Sudo la versiunea 1.9.17p1 sau mai recentă, deoarece în această ediție dezvoltatorii au corectat ambele probleme: opțiunea host a fost restrânsă la utilizarea sa legitimă și funcția chroot a primit modificări în gestionarea căilor și bibliotecilor. Principalele distribuții, cum ar fi Ubuntu, Debian, SUSE și Red Hat, au publicat deja patch-urile corespunzătoare și repozitoriile lor conțin versiuni sigure.
Experții în securitate recomandă, de asemenea, auditarea fișierelor /etc/sudoers și /etc/sudoers.d pentru a localiza posibilele utilizări ale directivelor Host sau Host_Alias și pentru a verifica că nu există reguli care să permită exploatarea bug-ului.
Nu există soluții alternative eficiente. În cazul în care nu se poate actualiza imediat, se recomandă monitorizarea foarte atentă a acceselor și restricțiilor administrative, deși riscul de expunere rămâne ridicat.
Acest incident subliniază importanța verificărilor periodice de securitate și a menținerii la zi a componentelor esențiale precum Sudo. Existența unor defecte ascunse timp de mai bine de un deceniu într-o utilitate atât de răspândită este un puternic memento al pericolelor de a avea încredere orbă în instrumentele de infrastructură fără o revizuire constantă.
Detectarea acestor vulnerabilități în Sudo subliniază relevanța de a avea strategii proactive de actualizare și audit. Administratorii și companiile trebuie să revizuiască sistemele lor, să aplice patch-urile disponibile și să rămână atenți la incidentele viitoare în componentele critice ale sistemului de operare.
Comentarii
Trimiteți un comentariu