
Yaygın olarak kullanılan Linux Sudo yardımcı programında kritik bir güvenlik açığı açıklanmıştır ve bu da yerel ayrıcalıksız kullanıcının kök erişimine ayrıcalıkları artırmasına izin verir.
Summary
1. CVE-2025-32463 affects Sudo versions 1.9.14-1.9.17, enabling privilege escalation to root.
2. Exploitation uses the chroot option (-R) to manipulate the NSS system and load malicious libraries.
3. Impact affects default configurations on Ubuntu, Fedora, and other major Linux distributions.
4. The Fix requires an immediate update to Sudo 1.9.17p1 or later - no workaround is available.
CVE-2025-32463 olarak izlenen güvenlik açığı, SUDO sürümlerini 1.9.14 ila 1.9.17’yi etkiler ve varsayılan konfigürasyonları çalıştıran Linux sistemleri için önemli bir tehdit oluşturur.
Kök ayrıcalık artış kusuru
Güvenlik açığı, Stratascale Siber Araştırma Birimi’nden (CRU) Rich Mirch tarafından keşfedildi ve Sudo’da nadiren kullanılan Chroot seçeneği (-r veya –Croot) etrafında merkezler.
Bu güvenlik açığı özellikle tehlikelidir, çünkü saldıran kullanıcı için herhangi bir sudo kuralının tanımlanmasını gerektirmez, yani idari ayrıcalıkları olmayan kullanıcılar bile kullanabilir.
Kusur, CHROOT özelliği kullanıldığında eşleşen işleme kodunu komuta yönlendiren güncellemelerle Sudo V1.9.14’te tanıtıldı.
Güvenlik açığı, ayrıcalıklı olmayan kullanıcıların, Sudo’nun kök otoritesiyle yürüttüğü kontrolleri altında yazılamaz, güvenilmeyen yollarda chroot () çağırmasına izin verir.
Bu, ad hizmet anahtarı (NSS) işlemleri tetiklendiğinde bir güvenlik ihlali oluşturur ve bu da sistemin güvenilmeyen ortamdan /etc/nsswitch.conf yapılandırmasını yüklemesine neden olur.
Sömürü tekniği, kontrollü bir chroot ortamına kötü amaçlı bir /etc/nsswitch.conf dosyası yerleştirerek NSS (Name Service Switch) sisteminin manipüle edilmesini içerir.
Saldırganlar, Sudo’nun kök ayrıcalıklarıyla yüklendiği paylaşılan nesne kitaplıklarına (örneğin, libnss_/woot1337.so.2) dönüşen özel NSS kaynaklarını belirleyebilir.
Kavram kanıtı, sömürü, kök ayrıcalıkları elde etmek için setreuid (0,0) ve setRegid (0,0) çağıran bir yapıcı işlevi olan kötü amaçlı paylaşılan bir nesne oluşturarak bunu gösterir, ardından bir kök kabuğu sağlamak için /bin /bash yürütür.
Exploit kodu, basit bir GCC -Shared -fpic komutunun Sudo’nun NSS operasyonları sırasında yüklenen kötü amaçlı kütüphaneyi nasıl derleyebileceğini gösterir.
Risk faktörleri | Detaylar |
Etkilenen ürünler | – Yerel Kullanıcı Hesabı (Rakipsiz)- Yazılabilir dizine erişim- mevcut sudo izinleri gerekmez- varsayılan sudo yapılandırması yeterli |
Darbe | Köklere yerel ayrıcalık yükseltme |
Önkoşuldan istismar | – Yerel Kullanıcı Hesabı (Rakipsiz) – Yazılabilir Dizin’e Erişim – Mevcut Sudo İzni Gerekmez – Varsayılan Sudo Yapılandırması Yeterli |
CVSS 3.1 puanı | 9.8 (kritik) |
Hafifletme
Güvenlik araştırmacıları, Sudo 1.9.15p5 ve 1.9.16p2 ile Ubuntu 24.04.1’deki güvenlik açığını ve ayrıca SUDO 1.9.15p5 ile Fedora 41 sunucusunu doğruladılar.
Güvenlik açığı, varsayılan sudo konfigürasyonunu etkiler, bu da onu hemen dikkat gerektiren yaygın bir tehdit haline getirir.
Düzeltme, Chroot seçeneğinin kullanımdan kaldırıldığı ve savunmasız PIVOT_ROOT () ve unpivot_root () işlevlerinin kaldırıldığı Sudo 1.9.17p1 veya sonraki sürümlerde mevcuttur.
Sistem yöneticilerine, bu kritik güvenlik açığı için hiçbir geçici çözüm olmadığından, sudo paketlerini derhal güncellemeleri şiddetle tavsiye edilir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi