Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило об активной эксплуатации критической уязвимости CVE-2025-32463 в утилите sudo, которая обеспечивает выполнение команд с правами суперпользователя в Linux. По оценке CVSS, уязвимость получила 9,3 балла, что подчеркивает высокий риск для корпоративных и государственных ИТ-сред.
Что произошло: кратко о главном
Исследователи Stratascale летом 2025 года выявили дефект, затрагивающий версии sudo до 1.9.17p1. Проблема позволяет локальному пользователю повысить привилегии до уровня root при использовании опции -R (chroot), если файл /etc/nsswitch.conf берется из каталога, контролируемого пользователем. CISA подтверждает, что уязвимость уже применяется в реальных атаках, не раскрывая подробности конкретных инцидентов.
Как работает уязвимость CVE-2025-32463
Суть проблемы — в том, как sudo обрабатывает user-specified root при chroot и взаимодействует с механизмом разрешения имен (glibc NSS). Если злоумышленник может указать собственный «корень» для sudo и поместить туда управляемый nsswitch.conf, приложение может обратиться к произвольной общей библиотеке NSS. Это открывает путь к выполнению кода с повышенными привилегиями, фактически превращая локальный доступ в полный контроль над системой.
Почему конфигурация уязвима по умолчанию
Исследователи отмечают, что эксплуатация не требует специальных записей в sudoers для конкретного пользователя. Иными словами, любой локальный непривилегированный пользователь в затронутой системе потенциально способен выполнить эскалацию привилегий при наличии возможности запуска sudo с опцией -R.
Почему риск высокий: оценка воздействия
CVSS 9.3 отражает критичность — это локальная эскалация привилегий в широко распространенном компоненте администрирования Linux. sudo присутствует практически во всех основных дистрибутивах, а значит, площадь атаки велика. Публикация PoC-эксплоита Stratascale и появление дополнительных реализаций в открытом доступе сделали эксплуатацию более доступной для злоумышленников, снижая барьер входа для атакующих групп, включая операторов вымогательского ПО и инсайдеров.
Реакция сообщества и планы разработчиков sudo
Мейнтейнер проекта, Todd C. Miller, сообщил о намерении полностью убрать поддержку chroot из будущих релизов sudo, подчеркнув, что режим с пользовательским корневым каталогом «чреват появлением ошибок». Этот шаг указывает на стратегию минимизации сложных и часто уязвимых кодовых путей, связанных с изолированным окружением и динамической загрузкой библиотек.
Рекомендации по защите для администраторов Linux
Обновитесь. Проверьте версии sudo и установите патч, недоступность которого может означать повышенный риск. Для большинства дистрибутивов обновления безопасности поставляются через стандартные репозитории. Цель — исключить использование уязвимых сборок «до 1.9.17p1».
Отключите рискованные опции. Избегайте использования sudo -R (chroot), особенно в сценариях, где локальные пользователи могут влиять на содержимое каталогов. Пересмотрите автоматизации и скрипты, которые полагаются на user-specified root.
Контроль целостности и конфигураций. Мониторьте попытки подмены nsswitch.conf и появление нестандартных NSS-модулей. Внедрите контроль целостности (например, с помощью системного мониторинга и политик) и ограничьте возможность загрузки неподписанных библиотек.
Журналирование и обнаружение. Усильте аудит вызовов sudo, событий chroot и динамической загрузки библиотек. Настройте оповещения SIEM по аномалиям локальной эскалации привилегий.
Политики доступа. Применяйте принцип наименьших привилегий, ограничивайте запуск sudo для некритичных пользователей, используйте многофакторную аутентификацию и сегментацию рабочих станций администраторов.
Активная эксплуатация CVE-2025-32463 — напоминание, что базовые администраторские инструменты часто становятся целями атак. Организациям стоит оперативно применить обновления и временные меры снижения риска, а также отслеживать бюллетени CISA и уведомления дистрибутивов Linux. Чем быстрее будет закрыт путь к nsswitch-инъекциям в контексте sudo, тем ниже вероятность успешной эскалации привилегий и компрометации критичных узлов.
