Miljonid Linuxi ja Unixi süsteemid on sattunud tõsiste turvariskide ohvriks seoses ... Kaks haavatavust Sudos, põhiline tööriist, mis võimaldab kasutajatel kontrollitud viisil kõrgendatud õigustega käske täita. Need vead, mis on tuvastatud kui CVE-2025-32462 y CVE-2025-32463, on küberturvalisuse eksperdid hiljuti analüüsinud ja aru andnud, hoiatades nende mõju ja paranduste rakendamise kiireloomulisuse eest.
Avastus on süsteemiadministraatorid ja ettevõtted valvsaks teinud, kuna Sudo on vaikimisi olemas enamikus GNU/Linuxi distributsioonides ja sarnastes süsteemides, näiteks macOS-is. Mõlemad vead võimaldavad privileegide eskaleerimist kontodelt ilma administraatoriõigusteta, mis kahjustab mõjutatud arvutite terviklikkust.
Mis on Sudo ja miks see nii oluline on?
Sudo on Unixi keskkondades oluline utiliit, kasutatakse administratiivsete ülesannete täitmiseks ilma root-kasutajana sisse logimataSee tööriist pakub detailset kontrolli selle üle, millised kasutajad saavad teatud käske käivitada, aidates säilitada minimaalsete õiguste põhimõtet ja logides kõiki toiminguid auditeerimise eesmärgil.
Sudo konfiguratsiooni hallatakse failist / etc / sudoers, mis võimaldab teil määratleda konkreetsed reeglid kasutaja, käsu või hosti põhjal, mis on levinud tava turvalisuse tugevdamiseks suurtes infrastruktuurides.
Sudo haavatavuste tehnilised üksikasjad
CVE-2025-32462: Hosti valiku tõrge
See haavatavus oli Sudo koodis peidus olnud üle kümne aasta., mis mõjutab stabiilseid versioone alates 1.9.0 kuni 1.9.17 ja pärandversioone alates 1.8.8 kuni 1.8.32. Selle päritolu peitub valikus -h o --host, mis algselt peaks piirduma teiste arvutite loetlemise õigustega Juhtimistõrke tõttu saab seda aga süsteemis endas root-kasutajana käskude täitmiseks või failide redigeerimiseks kasutada.
Rünnakuvektor kasutab ära spetsiifilisi konfiguratsioone, kus Sudo reeglid on piiratud teatud hostide või hostinimede mustritega.Seega saab kohalik kasutaja süsteemi petta, teeseldes, et täidab käske teisel volitatud hostil ja saades juurjuurdepääsu. ilma keeruka ärakasutamiseta.
Selle vea ärakasutamine on eriti murettekitav ettevõttekeskkondades, kus juurdepääsu segmenteerimiseks kasutatakse tavaliselt Host või Host_Alias direktiive. Täiendavat ärakasutamise koodi pole vaja, lihtsalt käivitage Sudo valikuga -h ja hostil on lubatud piirangutest mööda hiilida.
CVE-2025-32463: Chroot-funktsiooni kuritarvitamine
Puhul CVE-2025-32463, raskusaste on suurem1.9.14. aasta versioonis 2023 chroot-funktsioonis sisse toodud viga võimaldab igal kohalikul kasutajal käivitada suvalist koodi enda kontrolli all olevatest teedest, saades seeläbi administraatori õigused.
Rünnak põhineb nimeteenuse vahetamise (NSS) süsteemi manipuleerimisel. Sudo käivitamine valikuga -R (chroot) ja määrates ründaja poolt kontrollitava kataloogi root'iks, laadib Sudo sellest manipuleeritud keskkonnast konfiguratsioonid ja teegid. Ründaja saab sundida pahatahtliku jagatud teeki laadima (näiteks läbi /etc/nsswitch.conf (võlts ja chroot-juurkaustas ettevalmistatud teek), et süsteemile juurkest hankida. Selle vea olemasolu on kinnitust leidnud mitmes distributsioonis, seega on soovitatav olla kursis uusimate värskendustega.
Selle tehnika lihtsust on reaalsetes stsenaariumides kontrollitud, kasutades teeki loomiseks ainult C-kompilaatorit ja käivitades Sudo abil vastava käsu. Pole vaja tehnilist keerukust ega keerulisi konfiguratsioone.
Need kaks haavatavust on kinnitust leidnud Ubuntu, Fedora ja macOS Sequoia uuemates versioonides, kuigi mõjutatud võivad olla ka teised distributsioonid. Parema kaitse tagamiseks on oluline rakendada arendajate soovitatud värskendusi.
Mida administraatorid ja kasutajad peaksid tegema
Ainus tõhus meede on Sudo uuendamine versioonile 1.9.17p1 või uuemale, kuna selles väljaandes on arendajad mõlemad probleemid parandanud: Hostivaliku kasutamine on piiratud legitiimse kasutusega ning chroot-funktsiooni teekonda ja teegi haldust on muudetud.Suuremad distributsioonid, näiteks Ubuntu, Debian, SUSE ja Red Hat, on vastavad parandused juba välja andnud ning nende repositooriumidel on turvalised versioonid.
Turvaeksperdid soovitavad ka auditeeri faile /etc/sudoers y /etc/sudoers.d et leida Host või Host_Alias direktiivide võimalikke kasutusviise ja kontrollida, et puuduvad reeglid, mis lubavad vea ärakasutamist.
Tõhusaid alternatiivseid lahendusi pole. Kui te ei saa kohe uuendada, on soovitatav juurdepääsu- ja halduspiiranguid tähelepanelikult jälgida, kuigi nakatumise oht on endiselt suur. Lisateavet meetmete ja soovituste kohta leiate sellest juhendist. turvavärskendused Linuxis.
See juhtum rõhutab regulaarsete turvakontrollide ja oluliste komponentide, näiteks Sudo, ajakohasena hoidmise olulisust. Varjatud vigade olemasolu enam kui kümne aasta jooksul nii laialt levinud utiliidis on terav meeldetuletus ohtudest, mis kaasnevad pimesi infrastruktuuri tööriistadele lootmisega ilma pideva ülevaatuseta.
Nende haavatavuste avastamine Sudos rõhutab ennetavate paranduste ja auditeerimisstrateegiate olulisust. Administraatorid ja organisatsioonid peaksid oma süsteemid üle vaatama, rakendama saadaolevaid parandusi ja olema valvsad tulevaste probleemide suhtes, mis mõjutavad kriitilisi operatsioonisüsteemi komponente.
