12 yılı aşkın bir süredir mevcut olan Sudo komut satırı aracında yeni açıklanan bir güvenlik açığı, sayısız Linux ve Unix benzeri sistemleri yerel ayrıcalık artış riskine maruz bırakarak saldırganların sofistike istismar olmadan kök erişimi kazanmasına izin verdi.
CVE-2025-32462 olarak izlenen kusur, Stratascale Siber Araştırma Birimi (CRU) tarafından keşfedildi ve Sudo’nun (v1.9.0–1.99.17) hem de v1.8.8–1.8.32) versiyonlarını etkiliyor, Linux ortamında neredeyse her yerde bulunan bir kamu hizmeti.
SUDO, yetkili kullanıcıların kök parolayı paylaşmadan, genellikle kök kullanıcı olarak yüksek ayrıcalıklarla komutları yürütmelerini sağlayan kritik bir yardımcı programdır.
Sudoers dosyası aracılığıyla yönetilen yapılandırması, hangi ana bilgisayarlara hangi komutları çalıştırabileceğini, en az ayrıcalık ilkesini uygulayabileceği ve bir denetim izi sağlayabileceği üzerinde ince taneli kontrollere izin verir.
Güvenlik açığı, 2013 yılında 1.8.8 sürümünde tanıtılan Sudo’nun -H veya -Host seçeneğine odaklanıyor. Bu seçenek, kullanıcıların farklı bir ana bilgisayar için sudo izinlerini görüntülemelerine olanak tanıyan -l veya –list bayrağı ile kullanılmak üzere tasarlandı.
Ancak, uzun süredir devam eden bir hata nedeniyle, ana bilgisayar seçeneği, yalnızca listeleme izinleri için değil, komutları çalıştırırken veya dosyaları düzenlerken de kullanılabilir.
Güvenlik Açığı Nasıl Çalışır?
Sudo kurallarının belirli ana bilgisayar adları veya kalıplarla sınırlı olduğu ortamlarda -büyük işletmelerde yaygın bir uygulama -kusur bir kullanıcının -H seçeneğini kullanarak farklı bir ana bilgisayar belirtmesine izin verir.
Sudo daha sonra kuralları, komutun bu ana bilgisayarda çalıştırılıyormuş gibi değerlendirir ve Sudoers dosyasındaki ana bilgisayar tabanlı kısıtlamaları etkili bir şekilde atlar.
Bir kullanıcının komutları bir geliştirme sunucusunda kök olarak çalıştırmasına izin verilirse, üretimde değilse, sadece geliştirme ana bilgisayarına başvurarak üretim sistemine kök erişimi elde etmek için hatayı kullanabilirler.
İstismar kodu gerekmez; Güvenlik açığı, Sudo’nun kural değerlendirmesinin mantığının doğasında var.
Tek ön koşul, kullanıcının geçerli ana bilgisayar için olmasa bile Sudoers dosyasına bir giriş olmasıdır.
Kusur, Ubuntu 24.04.1 ve MacOS Sequoia dahil olmak üzere ana dağılımlar üzerinde doğrulandı ve Sudo sürümleri 1.9.16p2 gibi. Sudo’nun neredeyse tüm Linux sistemlerindeki varsayılan varlığı göz önüne alındığında, pozlama yaygındır.
CVE-2025-32462 için etkili bir çözüm yoktur. Yöneticiler, SUDO sürüm 1.9.17p1 veya üstüne güncellemeleri istenir, burada ana bilgisayar seçeneği artık yalnızca listeleme işlemleriyle uygun şekilde sınırlandırılmıştır.
Güvenlik ekipleri ayrıca ana bilgisayar veya host_alias direktiflerinin kullanımı için sudoers yapılandırmalarını gözden geçirmeli ve potansiyel maruz kalma için tüm kuralları denetlemelidir.
Bu olay, güvenilir, temel araçlar için bile düzenli yazılım güncellemelerinin ve uyanık yapılandırma yönetiminin kritik öneminin altını çizmektedir.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt