Milyun-milyong mga sistema ng Linux at Unix ang nalantad sa mga seryosong panganib sa seguridad dahil sa paglitaw ng dalawang kahinaan sa Sudo, isang pangunahing tool na nagbibigay-daan sa mga user na magsagawa ng mga command na may matataas na pahintulot sa isang kontroladong paraan. Ang mga bahid na ito, na kinilala bilang CVE-2025-32462 y CVE-2025-32463, ay sinuri at iniulat kamakailan ng mga eksperto sa cybersecurity, na nagbabala tungkol sa epekto nito at sa pagkaapurahan ng paglalapat ng mga patch.
Ang pagtuklas ay naglagay sa mga tagapangasiwa ng system at mga kumpanya sa alerto, dahil ang Sudo ay naroroon bilang default sa karamihan ng mga pamamahagi ng GNU/Linux at mga katulad na sistema, tulad ng macOS. Ang parehong mga bug ay nagbibigay-daan sa pagtaas ng pribilehiyo mula sa mga account na walang pahintulot na pang-administratibo, na nakompromiso ang integridad ng mga apektadong computer.
Ano ang Sudo at bakit ito napakahalaga?
Ang Sudo ay isang mahalagang utility sa mga kapaligiran ng Unix, ginagamit upang magpatakbo ng mga gawaing pang-administratibo nang hindi kinakailangang mag-log in bilang ugatAng tool na ito ay nagbibigay ng detalyadong kontrol sa kung aling mga user ang maaaring magsagawa ng ilang partikular na utos, na tumutulong na mapanatili ang prinsipyo ng hindi bababa sa pribilehiyo at pag-log sa lahat ng mga aksyon para sa mga layunin ng pag-audit.
Ang configuration ng Sudo ay pinamamahalaan mula sa file / etc / sudoers, na nagbibigay-daan sa iyong tukuyin ang mga partikular na panuntunan batay sa user, command, o host, isang karaniwang kasanayan upang palakasin ang seguridad sa malalaking imprastraktura.
Mga Teknikal na Detalye ng Sudo Vulnerabilities
CVE-2025-32462: Nabigo ang opsyon sa host
Ang kahinaan na ito ay nakatago sa code ng Sudo sa loob ng mahigit isang dekada., na nakakaapekto sa mga stable na bersyon mula 1.9.0 hanggang 1.9.17 at mga legacy na bersyon mula 1.8.8 hanggang 1.8.32. Ang pinagmulan nito ay nasa opsyon -h o --host, na sa simula dapat na limitado sa listahan ng mga pribilehiyo para sa iba pang mga computer Gayunpaman, dahil sa isang pagkabigo sa kontrol, maaari itong magamit upang magsagawa ng mga utos o mag-edit ng mga file bilang ugat sa system mismo.
Ginagamit ng attack vector ang mga partikular na configuration kung saan ang mga panuntunan ng Sudo ay pinaghihigpitan sa ilang partikular na host o mga pattern ng hostname.. Kaya, ang isang lokal na gumagamit ay maaaring linlangin ang system sa pamamagitan ng pagpapanggap na magsagawa ng mga utos sa isa pang awtorisadong host at makakuha ng root access. nang hindi nangangailangan ng kumplikadong pagsasamantala.
Ang pagsasamantala sa bug na ito ay partikular na nakakabahala sa mga kapaligiran ng enterprise, kung saan ang mga direktiba ng Host o Host_Alias ay karaniwang ginagamit upang i-segment ang pag-access. Walang kinakailangang karagdagang exploit code, i-invoke lang ang Sudo gamit ang opsyon -h at pinapayagan ang isang host na i-bypass ang mga paghihigpit.
CVE-2025-32463: Pang-aabuso sa pag-andar ng Chroot
Sa kaso ng CVE-2025-32463, mas malaki ang kalubhaan: Ang isang kapintasan na ipinakilala sa bersyon 1.9.14 ng 2023 sa chroot function ay nagbibigay-daan sa sinumang lokal na user na magsagawa ng arbitrary code mula sa mga path na nasa ilalim ng kanilang kontrol, na nakakakuha ng mga pribilehiyo ng administrator.
Ang pag-atake ay batay sa pagmamanipula ng Name Service Switch (NSS) system. Sa pamamagitan ng pagpapatakbo ng Sudo na may opsyon -R (chroot) at magtakda ng isang direktoryo na kinokontrol ng umaatake bilang root, naglo-load ang Sudo ng mga configuration at library mula sa manipuladong kapaligirang ito. Maaaring pilitin ng isang umaatake ang pag-load ng isang nakakahamak na nakabahaging library (halimbawa, sa pamamagitan ng /etc/nsswitch.conf (isang pekeng isa at isang library na inihanda sa chroot root) upang makakuha ng root shell sa system. Ang pagkakaroon ng kapintasan na ito ay nakumpirma sa ilang mga pamamahagi, kaya ipinapayong manatiling up-to-date sa mga pinakabagong update.
Ang pagiging simple ng diskarteng ito ay na-verify sa totoong mundo na mga sitwasyon, gamit lamang ang isang C compiler upang lumikha ng library at ilunsad ang naaangkop na command gamit ang Sudo. Walang kinakailangang teknikal na pagiging sopistikado o kumplikadong mga pagsasaayos.
Ang dalawang kahinaan na ito ay na-verify sa mga kamakailang bersyon ng Ubuntu, Fedora, at macOS Sequoia, bagama't maaaring maapektuhan din ang ibang mga distribusyon. Para sa higit na proteksyon, mahalagang ilapat ang mga update na inirerekomenda ng mga developer.
Ano ang dapat gawin ng mga administrator at user
Ang tanging epektibong panukala ay ang pag-update ng Sudo sa bersyon 1.9.17p1 o mas bago, tulad ng sa release na ito naayos ng mga developer ang parehong isyu: Ang pagpipilian sa host ay pinaghigpitan sa lehitimong paggamit at ang chroot function ay nakatanggap ng mga pagbabago sa landas nito at pamamahala ng library.Ang mga pangunahing distribusyon, tulad ng Ubuntu, Debian, SUSE, at Red Hat, ay naglabas na ng kaukulang mga patch, at ang kanilang mga repositoryo ay may mga secure na bersyon.
Inirerekomenda din ng mga eksperto sa seguridad i-audit ang mga file /etc/sudoers y /etc/sudoers.d upang mahanap ang mga posibleng paggamit ng mga direktiba ng Host o Host_Alias, at upang suriin na walang mga panuntunan na nagpapahintulot sa bug na mapagsamantalahan.
Walang epektibong alternatibong solusyon. Kung hindi ka makapag-update kaagad, inirerekomenda na masusing subaybayan ang pag-access at mga administratibong paghihigpit, kahit na ang panganib ng pagkakalantad ay nananatiling mataas. Upang matuto nang higit pa tungkol sa mga hakbang at rekomendasyon, tingnan ang gabay na ito sa mga update sa seguridad sa Linux.
Binibigyang-diin ng insidenteng ito ang kahalagahan ng mga regular na pagsusuri sa seguridad at pagpapanatiling napapanahon ang mahahalagang bahagi tulad ng Sudo. Ang pagkakaroon ng mga nakatagong mga bahid sa loob ng mahigit isang dekada sa ganoong kalat na kalat na utility ay isang matinding paalala ng mga panganib ng bulag na pag-asa sa mga tool sa imprastraktura nang walang patuloy na pagsusuri.
Ang pagtuklas ng mga kahinaang ito sa Sudo ay binibigyang-diin ang kahalagahan ng proactive na pag-patch at mga diskarte sa pag-audit. Dapat suriin ng mga administrator at organisasyon ang kanilang mga system, maglapat ng mga available na patch, at manatiling mapagbantay para sa mga isyu sa hinaharap na nakakaapekto sa mga kritikal na bahagi ng operating system.
