Güvenlik araştırmacıları ekibi, yaygın olarak kullanılan Linux Sudo yardımcı programında kritik bir yerel ayrıcalık artış kusuru olan CVE-2025-32463 hakkında derinlemesine bir teknik rapor yayınladı.
Sudo sürümlerini 1.9.14 ila 1.9.17 etkileyen güvenlik açığı, standart Sudo erişimi olan yerel bir saldırganın, aracın chroot özelliğini kötüye kullanarak tam kök ayrıcalıkları kazanmasına izin verir.
Sorunun merkezinde –Chroot (veya -r) seçeneğinde bir mantık hatası var. Normalde, Chroot bir işlemi belirli bir dizinle sınırlar, ancak Sudo bu hapseti kullanıcı izinlerini kontrol etmeden önce ve ad hizmet anahtarı (NSS) modüllerini yüklemeden önce uygular.
Kullanıcı tarafından kontrol edilen bir chroot dizinine kötü amaçlı bir /etc/nsswitch.conf dosyası yerleştirerek, bir saldırgan Sudo’yu NSS’nin dinamik modül yüklemesi yoluyla kök ayrıcalıklarıyla haydut paylaşılan bir kütüphaneye (.So) yüklemeye zorlayabilir.
Kusur, Sudo’nun kaynak kodundaki operasyon sırasından kaynaklanmaktadır. Hedef dizinde chroot () çağırdıktan sonra Sudo hala kök olarak çalışıyor.
Daha sonra kullanıcı kimlik bilgilerini doğrulamak için getPwuid () gibi işlevleri çağırır. NSS, chrooted /etc/nsswitch.conf’u okur ve içeriğine dayanarak libns_malious.so.2 gibi kütüphanelerde dlopen () gerçekleştirir.
Bu modüller kök bağlamında yüklendiğinden, bir saldırganın özel hazırlanmış kütüphanesi, yapıcısında keyfi kök seviyesi kodu yürütebilir.
Bu yöntem yalnızca yerel dosya yazma erişimi ve /TMP gibi yazılabilir bir dizin gerektirir, bu da saldırıyı hem basit hem de yıkıcı hale getirir.
Araştırmacılar istismarı birkaç adımda gösterdiler:
- Çevre Kurulumu: ETC ve lib/x86_64-linux-gnu alt dizinleri ile/tmp/my_chroot altında bir dizin yapısı oluşturun ve uygun izinleri ayarlayın.
- NSS Yapılandırması: NSS’ye “kötü niyetli” bir modül yüklemesini söyleyen sahte bir /tmp/my_chroot/etc/nsswitch.conf ekleyin.
- Kötü niyetli Kütüphane: Paylaşılan bir kütüphaneyi, yüklendiğinde bir kök kabuğu oluşturan bir yapıcı işleviyle derleyin.
- Hatayı tetiklemek: Chroot, NSS ayrıştırma ve kütüphane yüklemesini zorlamak için sudo -r/tmp/my_chroot/usr/bin/id çalıştırın, bu da bir kök kabuğuna neden olur.
Kavram kanıtı kodu ve ayrıntılı montaj seviyesi analizi GitHub’da mevcuttur ve Strace ile sistem çağrısından son kabuk yumurtlamasına kadar her aşamayı gösterir.
Etkilenen sistemler arasında savunmasız sudo sürümlerini kullanırken Ubuntu 24.04+, Red Hat 8/9, Suse, Amazon Linux ve MacOS Ventura/Sonoma bulunur.
Kusur, özellikle chroot kaçışlarının ev sahibi uzlaşmaya yol açabileceği konteyner ortamlarında (Docker, Podman) tehlikelidir.
Bu saldırıya karşı savunmak için:
- Derhal Yama: Chroot özelliğinin kullanımdan kaldırıldığı ve NSS yüklemeden önce izin kontrolleri meydana geldiği Sudo 1.9.17p1 veya üstüne yükseltin.
- CHROOT’u devre dışı bırakın: Varsayılanlar ekleyin!
- Harden Geçici Dizinler: NOEXEC, NOSUID, NODEV SEÇENEKLERİ İLE MONTAJ /TMP.
- MAC politikalarını zorlayın: NSS modül yüklemesini kısıtlamak için Selinux veya Apparmor’u kullanın.
- Denet Chroot çağrıları: Şüpheli etkinlik çağrılarını günlüğe kaydetmek için denetleme kullanın.
CVE-2025-32463, görünüşte koruyucu özelliklerin kritik güvenlik boşluklarını nasıl tanıtabileceğini vurgular. Sistem yöneticilerinin yetkisiz kök erişimini önlemek için hemen güncellemeler ve hafifletmeler uygulamaları istenir.
Sürekli kod incelemeleri ve sorumlu açıklama, temel sistem kamu hizmetlerinin güvence altına alınmasında hayati önem taşır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.