CISA предупреждает о критической уязвимости Sudo в Linux, которая используется для атак
Хакеры активно используют критическую уязвимость (CVE-2025-32463) в пакете sudo, которая позволяет выполнять команды с правами root в операционных системах Linux.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), охарактеризовав её как «включение функциональности из ненадёжной сферы управления».
CISA дала федеральным агентствам время до 20 октября, чтобы они применили официальные меры по смягчению последствий или прекратили использование sudo.
Локальный злоумышленник может воспользоваться этой уязвимостью для повышения привилегий с помощью опции -R (—chroot), даже если он не включён в список sudoers — файл конфигурации, в котором указано, какие пользователи или группы имеют право выполнять команды с повышенными привилегиями.
Sudo («superuser do») позволяет системным администраторам делегировать свои полномочия определённым непривилегированным пользователям, при этом регистрируя выполненные команды и их аргументы.
Официально объявленная 30 июня уязвимость CVE-2025-32463 затрагивает sudo версий с 1.9.14 по 1.9.17 и получила оценку критичности 9,3 из 10.
«Злоумышленник может использовать опцию sudo -R (—chroot) для запуска произвольных команд от имени пользователя root, даже если они не указаны в файле sudoers», — поясняется в рекомендациях по безопасности.
Рич Мирч, исследователь из компании Stratascale, предоставляющей услуги в области кибербезопасности, который обнаружил CVE-2025-32463, отметил, что проблема затрагивает конфигурацию sudo по умолчанию и может быть использована без каких-либо заранее заданных правил для пользователя.
4 июля компания Mirch выпустила демонстрационный эксплойт для уязвимости CVE-2025-32463, которая существует с июня 2023 года, когда вышла версия 1.9.14.
Однако с 1 июля в открытом доступе появились дополнительные эксплойты, вероятно, основанные на технической статье.
CISA предупредила, что уязвимость CVE-2025-32463 в sudo используется в реальных атаках, хотя агентство не уточнило типы инцидентов, в которых она использовалась.
Организациям по всему миру рекомендуется использовать каталог известных уязвимостей CISA в качестве справочного материала для определения приоритетности установки исправлений и принятия других мер по обеспечению безопасности.
Редактор: AndreyEx
