Dwie niedawno odkryte luki w poleceniu Sudo podważają bezpieczeństwo wielu głównych dystrybucji Linuksa. Łatwo dostępne dla nieuprzywilejowanych użytkowników lokalnych, te luki zapewniają niemal natychmiastowy dostęp do roota, otwierając drzwi do poważnych naruszeń dotkniętych nimi systemów. Luki te podkreślają krytyczne znaczenie szybkich aktualizacji i solidnej ochrony dla wszystkich środowisk Linuksa, czy to na serwerach, czy na stacjach roboczych. W przypadku Linuksa wszędzie, od serwerów korporacyjnych po systemy wbudowane, polecenie Sudo odgrywa fundamentalną rolę. Umożliwia ono ograniczonym użytkownikom wykonywanie niektórych poleceń z uprawnieniami roota, uzasadniając to, co jest znane jako zasada najmniejszych uprawnień. Jednak gdy bezpieczeństwo tego narzędzia jest zagrożone, ryzyko staje się krytyczne. Dwie luki, wymienione jako CVE-2025-32462 i CVE-2025-32463, ujawniają luki w eskalacji lokalnych uprawnień. Te luki są tym bardziej alarmujące, że dotyczą szeroko stosowanej wersji Sudo, od 1.8.8 do 1.9.17, co oznacza, że znaczna większość dystrybucji, od Ubuntu do Red Hat, w tym Debian, SUSE i Amazon Linux, musi zastosować poprawki dostępne od czasu wydania wersji 1.9.17p1. Przyjrzyjmy się szczegółowo, jak działają te luki, ich konsekwencjom i najlepszym praktykom ochrony przed nimi. Analiza techniczna krytycznych luk Sudo wpływających na dostęp do roota Pierwsza wyróżniona luka, CVE-2025-32462, opiera się na błędzie w obsłudze opcji -h. (host). Ta opcja, wprowadzona w 2013 r., pozwala określić nazwę hosta, pod którą uprawnienia sudo są autoryzowane. Konkretnie, pozwala niektórym użytkownikom wykonywać polecenia tylko na określonych maszynach. Jednak błąd, który pozostał niezauważony przez ponad 12 lat, teraz pozwala lokalnemu użytkownikowi wykonywać polecenia na jego lokalnej maszynie, które są autoryzowane tylko na zdalnych maszynach wymienionych w pliku sudoers. Ta wada jest szczególnie krytyczna w środowiskach, w których wspólny plik sudoers jest rozproszony na wielu maszynach, co jest powszechną praktyką w dużych infrastrukturach wykorzystujących LDAP lub SSSD do scentralizowanego zarządzania uprawnieniami sudo. Złośliwy użytkownik może wykorzystać tę słabość, aby ominąć ograniczenia i wykonać działania administracyjne na własnym komputerze bez niezbędnych uprawnień, podszywając się pod inny komputer. Pochodzenie: Niewłaściwe użycie opcji -h (host) w sudoers Czas trwania: Istnieje od września 2013 Skutki: Wykonywanie autoryzowanych poleceń dla zdalnego hosta na komputerze lokalnym Dotknięte środowiska:
Rozproszone systemy plików sudoers, LDAP, SSSD Wynik CVSS: 2,8 (niski do umiarkowanego, ale istotny w określonym kontekście) Równolegle druga luka,CVE-2025-32463
, ma znacznie wyższy poziom zagrożenia i wynik CVSS wynoszący 9,3. Wykorzystuje ona funkcję chroot Sudo, która umożliwia wykonanie polecenia ze zmodyfikowanym katalogiem głównym (opcja –chroot lub -R), co jest przydatne w niektórych scenariuszach izolacji. Jednak ten mechanizm bezpieczeństwa stanowi sedno problemu.
W przypadku tej luki nieuprzywilejowany użytkownik lokalny może utworzyć fałszywy plik /etc/nsswitch.conf
w katalogu pod jego kontrolą, który ma stać się nowym rootem za pośrednictwem chroot. Sudo ostatecznie odczyta ten plik w tym kontekście i będzie w stanie załadować złośliwą bibliotekę współdzieloną lub wykonać dowolne polecenia z uprawnieniami roota. Ten atak nie wymaga żadnego wpisu w pliku sudoers, co czyni go uniwersalnym zagrożeniem dla wszystkich podatnych instalacji z włączoną funkcją chroot. Źródło:sudo ładowanie plików konfiguracyjnych w chroot użytkownika Skutek: Bezpośrednia i całkowita eskalacja uprawnień roota dla dowolnego użytkownika lokalnego
Wymagania dla sudoers:
- Nie są wymagane żadne reguły Zakresy:
- Systemy używające sudo z opcją chroot Perspektywy:
- Projekt Sudo rozważa całkowite usunięcie opcji chroot w przyszłości Połączenie tych dwóch luk w zabezpieczeniach budzi poważne obawy co do solidności zarządzania uprawnieniami w systemach Linux, zwłaszcza w kontekście rosnącej adopcji rozwiązań chmurowych i wirtualnych, w których konfiguracje sudo są bardziej złożone i scentralizowane. Odkryj luki związane z sudo i dostępem root. Dowiedz się, w jaki sposób te luki mogą naruszyć bezpieczeństwo Twojego systemu i jakie kroki należy podjąć, aby skutecznie je złagodzić.
- Wpływ na główne dystrybucje Linuksa i implikacje dla bezpieczeństwa systemu Odkrycia dotyczące Sudo są szerokie, ponieważ polecenie to jest instalowane domyślnie w praktycznie wszystkich dystrybucjach Linuksa. Od systemów konsumenckich, takich jak Ubuntu, Fedora i Debian, po dystrybucje zorientowane na przedsiębiorstwa, takie jak Red Hat Enterprise Linux, SUSE Linux Enterprise, a nawet warianty oparte na chmurze, takie jak Amazon Linux i Alpine, wszystkie są potencjalnie zagrożone, jeśli nie mają odpowiedniej aktualizacji.
- Ta powszechność Sudo w środowisku Linux oznacza, że sama obecność luk wymaga szybkiej reakcji. Zespoły systemowe muszą systematycznie sprawdzać zainstalowaną wersję Sudo, określać, czy maszyna używa scentralizowanych plików sudoers lub funkcji chroot, i szybko stosować poprawki. Główni dostawcy opublikowali już ostrzeżenia dotyczące bezpieczeństwa i wdrożyli aktualizacje w swoich oficjalnych repozytoriach:
AlmaLinux 8 i 9 Alpine LinuxAmazon LinuxDebian Gentoo Oracle LinuxRed Hat
SUSE Linux Enterprise Ubuntu Te poprawki obejmują wersję 1.9.17p1 Sudo, która zawiera konkretne poprawki dla dwóch krytycznych luk. Brak aktualizacji sprawi, że systemy będą podatne na proste ataki lokalnych złośliwych użytkowników, czasami nawet bez uprawnień. W przypadku zespołów administracyjnych wymaga to regularnego audytu konfiguracji sudo przy użyciu poleceń, takich jak sudo -l, aby wyświetlić listę uprawnień, przy jednoczesnym zintegrowaniu tego podejścia z kompleksowym programem zarządzania bezpieczeństwem (utwardzania) i monitorowania luk w zabezpieczeniach. Na przykład opanowanie podstawowych poleceń Sudo jest podstawową umiejętnością.
- Ponadto ten alert potwierdza znaczenie śledzenia wiadomości związanych z jądrem i dystrybucjami Linuksa, szczególnie w przypadku regularnego wydawania nowych wersji zawierających krytyczne aktualizacje, takich jak Ubuntu 25.10, która obejmuje Linuksa 6.17, zoptymalizowanego pod kątem bezpieczeństwa i stabilności. Dostępne tutaj: Ubuntu 25.10 i Linux Kernel 6.17. Podstawowe procedury łatania luk w zabezpieczeniach Sudo i zapewniania ochrony
- Stosowanie aktualizacji zabezpieczeń pozostaje pierwszym niezbędnym krokiem. Wszyscy administratorzy Linuksa powinni upewnić się, że używana wersja Sudo to co najmniej 1.9.17p1, która zawiera poprawkę wydaną pod koniec kwietnia. Ta poprawka w szczególności koryguje niepoprawne przetwarzanie opcji hosta i wyłącza funkcjonalność chroot, która została uznana za problematyczną. Oto typowe podejście do aktualizacji w większości dystrybucji: Zidentyfikuj bieżącą wersję sudo:
- sudo –version Aktualizuj pakiety systemowe:
- sudo apt update && sudo apt upgrade sudo (Debian/Ubuntu)
- lub sudo dnf update sudo
(Fedora/Red Hat)
sudo –version
powinno wyświetlać v1.9.17p1 lub nowszą Przetestuj funkcjonalność sudoers i unikaj używania opcji chrootUruchom ponownie powiązane usługi, jeśli to konieczne
W przypadku organizacji korzystających z plików sudoers dystrybuowanych za pośrednictwem LDAP lub SSSD poprawka skutecznie eliminuje możliwość wykonywania poleceń pierwotnie przeznaczonych dla innego hosta. Należy to zweryfikować, ponieważ ten scenariusz jest klasycznym przypadkiem wykorzystania pierwszej luki w zabezpieczeniach. Oprócz aktualizacji, oto kilka najlepszych praktyk ograniczających ryzyko, nawet w przypadku ataku:
Ściśle ograniczaj użytkowników w grupie sudo
- Monitoruj dzienniki i działania sudo w czasie rzeczywistym
- Unikaj skomplikowanych konfiguracji sudoer opartych na funkcjonalności chroot
- Nadawaj priorytet regularnym aktualizacjom wszystkich pakietów systemowych
- Szkol użytkowników w zakresie bezpieczeństwa haseł i higieny cyfrowej (patrz Metoda resetowania hasła w systemie Linux)
- Czujność pozostaje niezbędna, ponieważ nawet aktualny system może zostać naruszony przez nieprawidłową konfigurację sudoer lub źle zarządzane uprawnienia na komputerach z systemem Linux.
- Odkryj luki związane z sudo i ich wpływ na dostęp root. Dowiedz się o zagrożeniach bezpieczeństwa i najlepszych praktykach, aby chronić swój system przed potencjalnymi atakami.
- Praktyczne przypadki luk w zabezpieczeniach Sudo i opinie
- Prostota wykorzystywania luk w zabezpieczeniach w Sudo została zademonstrowana przez kilku badaczy, w tym Richa Mircha ze Stratascale. W typowym kontekście lokalny, nieuprzywilejowany użytkownik może uzyskać niemal pełny dostęp root za pomocą zaledwie kilku poleceń:
- W przypadku CVE-2025-32462 użytkownik pokonuje założenie, że sudoers są rozproszeni na wielu hostach. Wywołując sudo z opcją hosta i wykorzystując błąd, może wykonywać polecenia, które powinny być ograniczone do zdalnego hosta na komputerze lokalnym.
W przypadku CVE-2025-32463 użytkownik tworzy fałszywy folder główny zawierający zmodyfikowany plik /etc/nsswitch.conf. Następnie wywołuje sudo z opcją chroot, aby załadować ten plik i przejąć bibliotekę współdzieloną, uzyskując w ten sposób dostęp root. Te przykłady pokazują, że nawet bez uprawnień sudo zadeklarowanych w pliku sudoers, niezałatany system jest podatny. Atak jest dostępny dla każdego, kto zna te szczegóły, które są publicznie znane od kwietnia 2025 r. Główne ryzyko dotyczy maszyn, które są fizycznie dostępne lub podłączone zdalnie, ale są już zalogowane do lokalnego użytkownika. Marki i firmy obsługujące infrastrukturę Linux muszą traktować tę lukę poważnie. Kompletny audyt konfiguracji sudo, a także weryfikacja wdrożonych wersji, pozostają konieczne. Ponadto dodatkowe środki, takie jak konfiguracja systemów wykrywania włamań (IDS) i analiza logów, zmniejszają ryzyko wykorzystania w czasie rzeczywistym. Ewolucja zabezpieczeń Sudo i zalecenia dla użytkowników Linuksa
W obliczu powtarzającego się problemu luk w zabezpieczeniach Sudo, projekt stojący za tym narzędziem ogłosił już zbliżające się usunięcie funkcji chroot w nadchodzącym wydaniu. Ta decyzja ma na celu uproszczenie kodu źródłowego i ograniczenie możliwych wektorów ataku poprzez wyeliminowanie opcji uważanej za zbyt ryzykowną i podatną na błędy. Dla administratorów i entuzjastów Linuksa rozwój ten podkreśla znaczenie proaktywnego i rygorystycznego podejścia do zarządzania uprawnieniami systemowymi. Oprócz jednorazowych poprawek, zabezpieczenie systemu wymaga: Dogłębnego zrozumienia mechanizmów sudo, jego plików konfiguracyjnych i poleceń (opanowanie poleceń Sudo i Su) Regularnego monitorowania aktualizacji dystrybucji i ich pakietów bezpieczeństwa Wdrażania najlepszych praktyk w systemie sudoers, w szczególności poprzez unikanie nadmiernego przypisywania uprawnień
Integracji narzędzi do monitorowania uprawnień użytkowników i audytu Podnoszenia ogólnej świadomości użytkowników w zakresie bezpieczeństwa systemu Linux, w tym zarządzania hasłami i dostępemDla tych, którzy chcą pogłębić swoją wiedzę o systemie lub zoptymalizować swoją sieć lokalną, dostępne są praktyczne zasoby, takie jak konfiguracja serwera DNS Bind9 w sieci lokalnej
lub wdrożenie bondingu w Ubuntu w celu zwiększenia niezawodności sieci.
W ruchu oprogramowania open source każda publikacja dotycząca luk w zabezpieczeniach podkreśla, jak dynamiczna i responsywna jest społeczność Linuksa. Ale przypomina nam również, że bezpieczeństwo to przede wszystkim kwestia stałej uwagi i dobrych odruchów, niezbędny element każdej skutecznej i odpowiedzialnej administracji.
Dowiedz się, w jaki sposób luki w zabezpieczeniach związane z sudo mogą zagrozić dostępowi root do Twojego systemu. Poznaj najlepsze praktyki zabezpieczania środowiska i ochrony danych przed potencjalnymi zagrożeniami.
