Yaygın olarak kullanılan Sudo yardımcı programında kritik bir güvenlik açığı, dünya çapındaki Linux sistem yöneticileri için alarmlara neden olan kavram kanıtlama istismarının kamuya açıklanmasının ardından inceleme altına alındı.
CVE-2025-32463, Sudo’nun 1.9.14’ten 1.9.17’ye kadar olan sürümlerindeki chroot özelliğini hedef alarak yerel saldırganların ayrıcalıkları minimum çabayla kök düzeyine yükseltmesine olanak tanır.
Güvenlik araştırmacısı Rich Mirch tarafından keşfedilen bu kusur, Sudo’nun kullanıcı tarafından belirlenen kök dizinleri nasıl işlediğini açığa çıkarıyor ve potansiyel olarak süper kullanıcı olarak yetkisiz komut yürütülmesine izin veriyor.
CVSS puanı 9,3 olarak kritik olarak derecelendirilen sorun, Unix benzeri işletim sistemleri için gerekli olan ayrıcalık yönetimi araçlarında devam eden risklerin altını çiziyor.
Raporlar, vahşi ortamda aktif istismara işaret ediyor ve bu da CISA gibi kuruluşlardan acil yama çağrılarına yol açıyor.
Bu gelişme, Sudo ile ilgili güvenlik açıklarının arttığı bir dönemde ortaya çıkıyor ve aracın daha derin sistem erişimi isteyen saldırganlar için ana hedef olarak kalıcı rolünü vurguluyor.
Güvenlik açığı, kullanıcı tanımlı kök ortamlarını desteklemek için 1.9.14 sürümünde sunulan –chroot seçeneği kullanıldığında Sudo’nun yolları hatalı şekilde çözümlemesinden kaynaklanmaktadır.
Etkilenen sürümlerde, bir saldırgan kontrollü bir dizin içinde kötü amaçlı bir /etc/nsswitch.conf dosyası oluşturarak Sudo’yu komut değerlendirmesi sırasında rastgele bir paylaşılan kitaplık yüklemesi için kandırabilir.
Bu, sudoers dosya kısıtlamalarını atlayarak, yükseltme için açıkça yetkilendirilmemiş kullanıcılara bile kök ayrıcalıkları verir.
Rich Mirch, sorunu Sudo’nun yol çözümleme mantığını analiz ederek belirledi ve chroot özelliğinin uygulanmasının, yerel ayrıcalık artışı için hataya açık bir vektör oluşturduğuna dikkat çekti.
Kusurun ağ erişimi veya yüksek ayrıcalıklar gerektirmemesi, onu özellikle sunucular ve geliştirme makineleri gibi çok kullanıcılı ortamlarda tehlikeli kılıyor.
Stratascale’in tavsiye niteliğindeki raporu, bunun veri hırsızlığı veya kötü amaçlı yazılım dağıtımı da dahil olmak üzere tam sistem güvenliğinin ihlaline nasıl yol açabileceğini ayrıntılarıyla anlatıyor.
Ubuntu ve Red Hat, son güncellemelerde kullanıma sunulan yamalarla güvenlik açığının dağıtımlarını etkilediğini doğruladı.
Konsept Kanıtı Gösterimi
Araştırmacı kh4sh3i’nin GitHub deposu, kontrollü bir ortamda artışı gösteren basit bir PoC istismarı sağlıyor.
Kullanıcılar veri havuzunu klonlar, dizine gider veexploit.sh betiğini çalıştırılabilir hale getirir ve ilk kullanıcı kimliklerini kontrol ettikten sonra çalıştırır.
Betik, Sudo’nun ortamını değiştirmek için chroot seçeneğini kullanır ve bu, root erişimini gösteren yürütme sonrası kimlik çıktısının kanıtladığı gibi başarılı bir ayrıcalık kazanımıyla sonuçlanır.
Depodaki terminal ekran görüntüleri süreci göstermektedir: düşük kullanıcı grubunda düşük ayrıcalıklı bir kullanıcı olarak başlayarak, istismar sudo aracılığıyla yürütülür ve bağlam tam yönetim yetenekleriyle root@test’e dönüştürülür.
Ekteki tanıtım görüntüsünü yansıtan bu görsel kanıt, güvenlik açığının yama uygulanmamış sistemlerdeki güvenilirliğini doğrulamaktadır.
PoC, eğitim amaçlı kullanıma yönelik olsa da, yetkisiz dağıtımın yasa dışı faaliyet oluşturması nedeniyle dikkatli olunması gerektiğini vurguluyor. Exploit-DB, kötü amaçlı amaçlara uyum sağlamanın kolaylığını vurgulayan benzer bir komut dosyası barındırıyor.
Savunmasız Sudo sürümlerini çalıştıran sistemler, ihlal edilen ağlarda yanal hareketi kolaylaştırabilecek yerel tehdit aktörlerinin tamamen ele geçirilmesi de dahil olmak üzere ciddi risklerle karşı karşıyadır.
Etkilenen ürünler başlıca Linux dağıtımlarını kapsamaktadır: Ubuntu 24.04 LTS, 24.10 ve 25.04; Red Hat Enterprise Linux çeşitleri; ve Sudo 1.9.14-1.9.17 ile Debian tabanlı kurulumlar.
1.9.14’ten önceki eski sürümler, chroot desteği olmadığından etkilenmez. Derhal azaltım, özelliğin kullanımdan kaldırıldığı ve yol çözümleme kusurunun geri döndürüldüğü Sudo 1.9.17p1 veya sonraki bir sürüme güncellemeyi içerir.
Yöneticiler, Sudo işlemlerini kısıtlamak ve şüpheli chroot çağrılarına karşı günlükleri izlemek için AppArmor veya SELinux profillerini etkinleştirmelidir.
CISA, bu CVE’yi Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğuna ekleyerek federal kurumların Ekim 2025’e kadar yama uygulamasını zorunlu kıldı.
| Bakış açısı | Detaylar |
|---|---|
| CVE Kimliği | CVE-2025-32463 |
| CVSS v3.1 Puanı | 9.3 (Kritik) |
| Saldırı Vektörü | Yerel |
| Darbe | Yüksek Gizlilik, Bütünlük, Kullanılabilirlik |
| Etkilenen Sürümler | Sudo 1.9.14 – 1.9.17 |
| Yamalı Sürümler | 1.9.17p1+ |
Güncellemeleri geciktiren kuruluşlar, özellikle otomasyon için Sudo’ya bağımlı olan bulut ve konteynerli ortamlarda, artan maruz kalma riskiyle karşı karşıyadır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
