.webp?w=696&resize=696,0&ssl=1 "CISA, Saldırılarda Aktif Olarak Sömürülen Linux Sudo Güvenlik Açığı konusunda uyarıyor")
CISA, şu anda vahşi doğada sömürülen Linux ve Unix Sudo Fayda CVE-2025-32463’teki kritik bir güvenlik açığı konusunda acil bir danışma yayınladı.
Bu kusur, yerel rakiplerin erişim kontrollerini atlamasına ve açık Sudoers ayrıcalıkları olmasa bile kök kullanıcı olarak keyfi komutlar yürütmelerine olanak tanır.
Sudo chroot bypass (CVE-2025-32463)
“İşlevselliğin güvenilmeyen kontrol alanından dahil edilmesi” olarak tanımlanan CVE-2025-32463, -r (–Croot) seçeneğinin işlenmesinde uygunsuz doğrulamadan kaynaklanmaktadır.
Çağrıldığında, sudo -r/yol/to/chroot komutu, yardımcı program hedef dizinin güvenli olduğunu doğrulamaz. Saldırganlar, Sudo’yu yüksek ayrıcalıklarla kod yürütmeye kandırmak için, genellikle sahip oldukları bir dizinde, kontrolleri altında kötü niyetli bir chroot ortamı oluşturabilirler.
Bu kontrol küre saldırısı vektörü, ilgili CWE: CWE-829 (işlevselliğin güvenilmeyen kontrol alanından dahil edilmesi) altında kataloglanır.
Sustam Exploit senaryoları, manipüle edilmiş sembolik bağlantılara ve yapılandırma dosyalarına sahip bir dizin oluşturan yerel bir kullanıcı içerir.
Sudo -Saldırıcı_dir /Bin /SH çalıştırmak, subayı kısıtlamalar ve potansiyel entegrasyondan bağımsız olarak bir kök kabuğunu ortaya çıkarmak için tam sistem devralmasını sağlayarak çalıştırın.
Bugüne kadar bilinen fidye yazılımı kampanyalarında teyit edilmiş bir entegrasyon raporu olmasa da, kök erişimi kazanan ayrıcalıklı bir yerel kullanıcının şiddeti abartılamaz.
CISA, 2025-10-20 güvenlik açığı iyileştirme tarihini belirlemiştir. Sistemler, gizlilik, dürüstlük ve mevcudiyetten tamamen ödün verilmemiş riskten ayrıldı.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Linux/Unix’te 1.9.14p2’den önceki Sudo sürümleri |
| Darbe | Yerel ayrıcalık yükseltme – Abacker kök kabuğu kazanır |
| Önkoşuldan istismar | Kötü niyetli bir chroot dizin oluşturma yeteneği |
| CVSS 3.1 puanı | 9.3 (kritik) |
Hafifletme
Yamalı sürümlerden önce sudo nakliyenin herhangi bir sürümünü çalıştıran kuruluşlar derhal hareket etmelidir:
- Sudo Proje Danışmanlığı’nda ayrıntılı olarak açıklandığı gibi en son Sudo sürümünü güncelleyin.
- Yamalar dağıtılamıyorsa, Varsayılanlar ekleyerek -r seçeneğini devre dışı bırakın!
- Bulut ve yönetilen hizmetler için, güvenli yapılandırma taban çizgilerini sağlamak için bağlayıcı operasyonel direktifleri izleyin.
- Olağandışı chroot kullanım kalıpları için sistem tarama ve güvenilmeyen dizinlere başvuran sudo çağrıları için günlükleri gözden geçirin.
CISA’nın uyarısı, uyanık yama yönetiminin ve devam eden izlemenin önemini vurgular. Yöneticiler, satıcı talimatlarına uygunluğu doğrulamalı veya hafifletmelerin mevcut olmadığı savunmasız uygulamaları durdurmalıdır.
2025-10-20 son tarihine kadar bu güvenlik açığını ele almaması, yetkisiz kök erişimine, veri ihlallerine veya sistem çapında uzlaşmaya neden olabilir.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
