Die US-Behörde für Cybersicherheit und kritische Infrastrukturen (CISA) warnt vor der aktiven Ausnutzung der Linux-Schwachstelle CVE-2025-32463 in sudo. Die Lücke ist mit CVSS 9.3 bewertet und ermöglicht eine lokale Privilegieneskalation bis root – ein erhebliches Risiko in Unternehmens- und Behördenumgebungen, in denen sudo praktisch allgegenwärtig ist.

Was passiert ist: Befund, betroffene Versionen und Ausnutzung

Forschende von Stratascale identifizierten im Sommer 2025 einen Fehler, der sudo-Versionen bis einschließlich 1.9.17p1 betrifft. Demnach kann ein lokaler Benutzer Rechte erhöhen, wenn sudo mit der Option -R (chroot) gestartet wird und die Datei /etc/nsswitch.conf aus einem vom Benutzer kontrollierten Verzeichnis geladen wird. CISA bestätigt, dass Angriffe in freier Wildbahn stattfinden, ohne Details zu konkreten Vorfällen zu veröffentlichen.

Technischer Hintergrund: Interaktion von chroot, NSS und nsswitch.conf

Die Schwachstelle wurzelt in der Art, wie sudo einen user-specified root beim chroot verarbeitet und wie die glibc ihre Namensauflösung über das NSS-Framework (Name Service Switch) realisiert. Kann ein Angreifer einen alternativen Root-Pfad angeben und darin eine manipulierte nsswitch.conf platzieren, veranlasst dies potenziell das Laden einer beliebigen NSS-Bibliothek. Ergebnis: Ausführung von Code mit root-Rechten.

Warum Standardkonfigurationen betroffen sein können

Für die Ausnutzung sind keine spezifischen Einträge in sudoers für den einzelnen Benutzer nötig. Entscheidend ist, dass der lokale Benutzer sudo mit -R starten kann. Damit wird die Lücke für jeden nicht privilegierten lokalen Account relevant, sofern diese Option nicht unterbunden oder gepatcht ist.

Risikoanalyse: Angriffsoberfläche und Akteursprofile

Die Einstufung mit CVSS 9.3 spiegelt die Schwere wider: Es handelt sich um eine LPE in einem Kernwerkzeug der Systemadministration. Da sudo in nahezu allen gängigen Linux-Distributionen vorhanden ist, ist die Angriffsfläche groß. Die Veröffentlichung eines PoC-Exploits durch Stratascale und weiterer Implementierungen senkt die Eintrittsbarrieren und begünstigt Nachahmer – von Ransomware-Operatoren bis zu Insidern mit lokalem Zugang.

Reaktion des Projekts: Design-Entscheidung gegen chroot

Der Maintainer Todd C. Miller kündigte an, die chroot-Unterstützung in kommenden sudo-Versionen grundsätzlich zu entfernen. Der Schritt folgt der Erkenntnis, dass Pfade mit user-specified root und dynamischer Bibliotheksladung anfällig sind und die Komplexität unnötig erhöhen.

Empfehlungen für Linux-Administratoren: Patchen, härten, überwachen

Aktualisieren. Prüfen Sie die installierte sudo-Version und spielen Sie Sicherheitsupdates ein. Ziel ist die Eliminierung verwundbarer Builds bis 1.9.17p1. Distributionen liefern Fixes in der Regel über die Standard-Repositories.

Riskante Optionen deaktivieren. Vermeiden oder unterbinden Sie sudo -R (chroot), besonders wenn lokale Benutzer Verzeichnisse beeinflussen können. Überarbeiten Sie Skripte und Automatisierungen, die auf user-specified root setzen.

Integrität und Konfiguration schützen. Überwachen Sie Änderungen an nsswitch.conf und das Auftauchen ungewöhnlicher NSS-Module. Setzen Sie Integritätskontrollen durch und begrenzen Sie die Ladefähigkeit nicht signierter oder nicht autorisierter Bibliotheken.

Protokollierung und Erkennung. Erhöhen Sie die Audit-Tiefe für sudo-Aufrufe, chroot-Ereignisse und dynamische Bibliotheksladungen. Richten Sie SIEM-Warnungen auf Anzeichen lokaler Privilegieneskalation und verdächtiger Prozessketten ein.

Zugriff minimieren. Erzwingen Sie das Prinzip der geringsten Rechte, beschränken Sie sudo auf notwendige Rollen, setzen Sie Mehrfaktor-Authentifizierung um und segmentieren Sie Admin-Workstations.

Die bestätigte Ausnutzung von CVE-2025-32463 zeigt, dass selbst Basistools zum Administratoralltag attraktive Ziele bleiben. Organisationen sollten umgehend patchen, die Nutzung von sudo -R aussetzen und Telemetrie für Anomalien aktivieren. Das laufende Monitoring von CISA-Hinweisen sowie der Security-Advisories Ihrer Linux-Distributionen verkürzt die Reaktionszeit und reduziert das Risiko erfolgreicher Privilegieneskalationen und Systemkompromittierungen.