Ключовий інструмент адміністрування Linux знову у фокусі безпеки. Агентство CISA застерігає про активну експлуатацію критичної уразливості CVE-2025-32463 у sudo, яка отримала оцінку CVSS 9.3. Дефект дає змогу локальному зловмиснику підвищити привілеї до root у поширених конфігураціях та напряму зачіпає корпоративні й державні ІТ-середовища.
Коротко про інцидент: уразливі версії та підтверджена експлуатація
За даними дослідників Stratascale, проблема торкається версій sudo до 1.9.17p1 та проявляється при використанні опції -R (chroot). Якщо /etc/nsswitch.conf зчитується з каталогу, контрольованого користувачем, відкривається шлях до завантаження довільних модулів NSS і виконання коду з правами суперкористувача. CISA підтвердила, що уразливість уже застосовується в реальних атаках, що підвищує терміновість оновлення систем.
Як працює CVE-2025-32463: взаємодія sudo, chroot і glibc NSS
Суть дефекту — у обробці user-specified root під час chroot у sudo та подальшій взаємодії з механізмом розв’язання імен glibc NSS. Коли sudo запускається з -R, воно використовує альтернативний «корінь» файлової системи. Якщо в цьому ізольованому дереві присутній керований користувачем nsswitch.conf, glibc може підключити довільну бібліотеку NSS з цього ж середовища, що фактично дає змогу виконати код у контексті root.
Чому стандартні конфігурації вразливі за замовчуванням
Експлуатація не вимагає спеціальних записів у sudoers для конкретного користувача. Отже, будь-який локальний непривілейований користувач, який має змогу запускати sudo з параметром -R, потенційно здатен виконати ескалацію привілеїв. Це особливо ризиковано в багатокористувацьких середовищах, на build-серверах, у лабораторних або навчальних системах, де контроль над каталогами та скриптами часто делегується.
Оцінка ризику: широке охоплення та низький бар’єр для зловмисників
Оцінка CVSS 9.3 обумовлена тим, що йдеться про локальну ескалацію привілеїв у повсюдному інструменті адміністрування Linux. Публікація PoC від Stratascale й появa альтернативних реалізацій у відкритому доступі суттєво знизили поріг входу для атакувальників, включно з операторами ransomware та інсайдерами. Історично подібні вади в критичних утилітах (згадаємо резонансні баги в sudo) демонстрували значний реальний вплив через масовість компонентів і стандартні сценарії їх використання.
Рекомендації для адміністраторів Linux: оновити, відключити ризик і посилити контроль
Оновлення без зволікань. Перевірте версію sudo і встановіть виправлення. Мета — усунути використання збірок до 1.9.17p1. Більшість дистрибутивів уже постачають патчі через стандартні репозиторії безпеки.
Уникайте sudo -R (chroot). Припиніть використання режиму з користувацьким «коренем», особливо там, де користувачі мають контроль над каталогами. Перегляньте автоматизації та CI/CD-скрипти, що покладаються на user-specified root. Для тимчасового зниження ризику застосовуйте noexec для користувацьких каталогів і не дозволяйте виконувані файли в таких ізольованих деревцях.
Контроль цілісності та конфігурацій. Моніторте спроби підміни nsswitch.conf, появу нетипових модулів NSS і нестандартних бібліотек у нестандартних шляхах. Обмежте завантаження NSS-модулів лише системними директоріями з коректними правами доступу; впровадьте контроль цілісності файлів і перевірку прав на каталоги, де можливе chroot.
Журнали та виявлення. Посильте аудит викликів sudo, фіксуйте використання параметра -R і події chroot. Налаштуйте в SIEM сповіщення щодо аномальної локальної ескалації привілеїв і нетипових завантажень бібліотек. Перевіряйте спроби запуску sudo у нестандартних середовищах та відхилення від базових профілів поведінки.
Політики доступу. Дотримуйтесь принципу наименьших привілеїв: обмежуйте доступ до sudo, застосовуйте MFA для адміністраторів і сегментуйте робочі станції. Це знижує вплив навіть у разі успішної локальної експлуатації.
Плани розробників sudo: відмова від підтримки chroot
Супровідник проєкту Todd C. Miller оголосив про намір прибрати підтримку chroot у майбутніх релізах sudo, підкресливши підвищену складність і помилкоємність цього режиму. Такий крок відповідає принципу спрощення критичних шляхів коду, які часто взаємодіють із динамічним завантаженням бібліотек та ізоляцією.
Активна експлуатація CVE-2025-32463 — чергове нагадування, що базові інструменти адміністрування є привабливою ціллю. Дійте проактивно: оновіть sudo, відключіть ризикові опції, посильте моніторинг і контроль цілісності. Чим швид
