Cybersecurity-Experten von Stratascale haben zwei hochriskante Sicherheitslücken in der weitverbreiteten sudo-Utility identifiziert, die lokalen Angreifern die Erlangung von Root-Privilegien ermöglichen. Besonders alarmierend ist die Tatsache, dass eine dieser Schwachstellen über zwölf Jahre lang unentdeckt im Code verborgen blieb und erst jetzt von der Entwicklergemeinschaft erkannt wurde.
Analyse der Sicherheitslücke CVE-2025-32462
Die erste identifizierte Schwachstelle CVE-2025-32462 erhielt eine CVSS-Bewertung von 2,8 Punkten und betrifft sämtliche sudo-Versionen vor 1.9.17p1. Die Problematik entsteht bei der Verwendung von sudoers-Dateien mit Host-Spezifikationen, die weder dem aktuellen Host noch dem Wert ALL entsprechen.
Der Ursprung dieser Schwachstelle liegt in der Host-Option (-h), die im September 2013 eingeführt wurde, um sudo-Berechtigungen für andere Hosts aufzulisten. Die kritische Sicherheitslücke besteht darin, dass diese Option nicht nur mit dem list-Befehl (-l) funktionierte, sondern auch bei der Ausführung von Kommandos. Dies ermöglichte es Angreifern, beliebige Befehle auszuführen, die für entfernte Hosts autorisiert waren, direkt auf dem lokalen System.
Hochkritische Schwachstelle CVE-2025-32463
Die zweite Sicherheitslücke CVE-2025-32463 stellt mit einer CVSS-Bewertung von 9,3 Punkten eine kritische Bedrohung dar. Diese Schwachstelle nutzt die sudo -R (chroot) Option aus und ermöglicht es jedem lokalen, nicht privilegierten Benutzer, seine Berechtigungen auf Root-Level zu eskalieren.
Der Exploit-Mechanismus basiert auf der Manipulation von sudo zur Ladung arbiträrer geteilter Bibliotheken. Angreifer können eine manipulierte /etc/nsswitch.conf-Datei im benutzerdefinierten Root-Verzeichnis erstellen, was zur Ausführung von Schadcode mit erhöhten Privilegien führt.
Standardkonfiguration als Sicherheitsrisiko
Laut Stratascales Untersuchungen ist die Standard-sudo-Konfiguration verwundbar. Für die Ausnutzung dieser Schwachstelle sind keine speziellen sudoers-Regeln für bestimmte Benutzer erforderlich. Dies bedeutet, dass praktisch jedes System mit installiertem sudo potentiell angreifbar ist.
Sofortmaßnahmen und Patches
Todd Miller, der sudo-Maintainer, bestätigte die Schwere der entdeckten Probleme und implementierte umfassende Gegenmaßnahmen. Die chroot-Option wird vollständig aus zukünftigen sudo-Releases entfernt, da die Unterstützung benutzerdefinierter Root-Verzeichnisse als grundsätzlich unsicher eingestuft wurde.
Die Schwachstellen wurden am 1. April 2025 öffentlich gemacht, nachdem die Probleme in der sudo-Version 1.9.17p1 behoben wurden, die Ende März veröffentlicht wurde. Linux-Distributoren haben bereits entsprechende Sicherheitsbulletins herausgegeben, da sudo ein integraler Bestandteil der meisten Unix-ähnlichen Systeme ist.
Empfohlene Schutzmaßnahmen
Zur Risikominimierung sollten Systemadministratoren unverzüglich auf sudo-Version 1.9.17p1 oder höher aktualisieren. Besondere Aufmerksamkeit verdienen Systeme, die gemeinsame sudoers-Dateien oder LDAP-basierte Konfigurationen verwenden, einschließlich SSSD-Implementierungen.
Organisationen sollten zusätzlich ihre sudo-Konfigurationen überprüfen und unnötige Host-Spezifikationen entfernen. Die Implementierung von Monitoring-Systemen zur Erkennung ungewöhnlicher sudo-Aktivitäten kann zusätzlichen Schutz bieten.
Dieser Vorfall unterstreicht die Bedeutung kontinuierlicher Sicherheitsaudits für kritische Systemkomponenten und die Notwendigkeit zeitnaher Sicherheitsupdates. Die Tatsache, dass eine Schwachstelle über ein Jahrzehnt unentdeckt blieb, verdeutlicht die Komplexität der Bedrohungslandschaft und den Wert unabhängiger Sicherheitsforschung für die Aufrechterhaltung der Systemsicherheit.
