Sudo, одна из ключевых командных утилит в операционных системах Linux и Unix-подобных системах, предназначена для предоставления ограниченных пользовательских прав, позволяя выполнять команды с повышенными привилегиями без необходимости постоянного использования root-доступа. Несмотря на всю важность и распространённость, недавно были обнаружены две критические уязвимости, которые способны подорвать концепцию безопасности, заложенную в Sudo, и позволить локальным злоумышленникам получить полномочия администратора — root. Эти баги оказались широко распространены и затрагивают большинство основных Linux-дистрибутивов, вызывая повышенную обеспокоенность в сообществе разработчиков и системных администраторов. В данной статье мы подробно рассмотрим суть этих уязвимостей, как они эксплуатируются, их влияние на системы и меры по устранению проблемы. Первая уязвимость, обозначенная как CVE-2025-32462 и имеющая сравнительно низкий рейтинг опасности (CVSS 2.
8), связана с неоднозначной работой опции «-h» (host) в Sudo. Эта опция появилась в сентябре 2013 года и позволяет просматривать привилегии пользователя для удалённого хоста. Однако в реализации имеется ошибка, из-за которой команды, разрешённые на одном удалённом хосте, могут неожиданно выполняться и на локальной машине при использовании данного параметра. Чаще всего это затрагивает организации, где используется общий файл sudoers, распространяемый на несколько серверов или клиентов, а также системы с LDAP-подобным механизмом централизованного управления правами (например, через SSSD). В таких случаях злоумышленник, имеющий права для запуска определённых команд на «удалённом» хосте, может сконструировать запрос так, чтобы выполнить эти команды локально, тем самым обходя настройки безопасности и расширяя свои возможности на своей машине.
Более серьёзной и опасной является вторая уязвимость — CVE-2025-32463 с высочайшим рейтингом опасности CVSS — 9.3. Данная брешь эксплуатирует функцию chroot, которую Sudo предоставляет через параметр «-R». Эта опция позволяет запускать команды в изменённой корневой файловой системе, что, по замыслу разработчиков, создаёт изолированную среду для выполнения. Однако злоумышленник может создать вредоносный файл конфигурации /etc/nsswitch.
conf в директории, заданной для chroot, что приведёт к загрузке произвольной библиотеки и выполнению команд с правами root. Особенно опасным этот баг делает то, что он не требует предварительной настройки каких-либо правил в sudoers — достаточно лишь установленного уязвимого экземпляра Sudo, чтобы любой локальный пользователь мог повысить свои привилегии до администратора. Обнаружение этих уязвимостей принадлежит исследователю Rich Mirch из Stratascale, который сообщил о них разработчикам Sudo под принципом ответственного раскрытия информации 1 апреля 2025 года. После тщательной проверки и устранения проблемам было присвоено обновление Sudo версии 1.9.
17p1, выпущенное позже в том же году. В рамках выпуска были предприняты меры по удалению опции chroot в будущем релизе, так как поддержка пользовательской корневой директории признана крайне рискованной и уязвимой. Следует отметить, что многие популярные дистрибутивы Linux выпустили свои собственные обновления безопасности, чтобы обезопасить пользователей. В список затронутых входят AlmaLinux (версии 8 и 9), Alpine Linux, Amazon Linux, Debian, Gentoo, Oracle Linux, Red Hat, SUSE и Ubuntu. Такая массовая распространённость указывает на острую необходимость своевременной установки патчей.
Для администраторов систем и конечных пользователей крайне важно проверить текущую версию установленного Sudo и обновить её при необходимости. Несоблюдение этого простого шага чревато тем, что локальные пользователи могут использовать эти уязвимости для получения корневого доступа, что грозит полной компрометацией системы, нарушением конфиденциальности данных и потенциальной интеграцией вредоносного ПО. Помимо обновления Sudo, рекомендуется пересмотреть способ централизованного управления sudoers, особенно если используется LDAP, и проверить настройки, связанные с использованием опции host. В контексте развития безопасности Linux-систем ситуация подчёркивает важность постоянного мониторинга уязвимостей в критических компонентах и своевременного реагирования на угрозы. Несмотря на то что концепция Sudo давно доказала свою эффективность в обеспечении принципа минимальных привилегий, сложность и многогранность утилиты создают предпосылки для скрытых багов.
Пример с CVE-2025-32462, который существовал в коде более 12 лет, демонстрирует, что даже давно устоявшиеся механизмы могут содержать опасные ошибки, проявляющиеся в специфических сценариях. Сообщество разработчиков активно реагирует на сбои и пробелы, однако пользователи несут ответственность за соблюдение рекомендаций по обновлению и конфигурированию своих систем. В заключение, выявленные уязвимости в Sudo являются серьёзным предупреждением для всей экосистемы Linux. Практика обновления систем и просвещения пользователей в области кибербезопасности остаётся ключевым фактором защиты от подобных угроз. Использование современных инструментов управления пакетами и автоматической установки обновлений помогает сократить уязвимости и сохранять стабильность и безопасность серверов и рабочих станций.
Эксперты также советуют системным администраторам пересмотреть использование устаревших функций, таких как chroot в Sudo, и принимать во внимание планы разработчиков по их удалению в будущих версиях. Важно помнить, что атакующие всегда ищут лазейки в критически важных сервисах, и своевременная реакция на выявленные уязвимости является залогом безопасности информационной инфраструктуры. Обновление Sudo и соответствующих компонентов дистрибутивов Linux сразу после выхода патчей — лучший способ предотвратить возможные атаки и сохранить доверие пользователей и корпоративных клиентов к своим IT-системам.
