Gyökeres hibát találtak: a sudo chroot-exploit lehetősége

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

A sudo (superuser do) parancs egy széles körben használt eszköz Linux/Unix rendszereken, amely lehetővé teszi, hogy egy nem-root felhasználó bizonyos parancsokat magasabb jogosultságokkal futtasson. A chroot („change root”) opció célja, hogy a parancsot egy ideiglenes, felhasználó által megadott „gyökérkönyvtárba” helyezze át. Azonban 1.9.14-es verziótól kezdve a útvonal-feldolgozás (path resolution) elvégzésre kerül a chroot belsejében, mielőtt a sudoers konfigurációt betöltené — ez a sorrend hiba lehetőségét teremti meg. Ezt a hibát a CVE-2025-32463 azonosító jelöli.

Mely verziók és rendszerek érintettek

A sebezhetőség a sudo 1.9.14-től 1.9.17-ig minden verziójára vonatkozik, mert ezek tartalmazzák a chroot-komponens azon viselkedését, amely hibás útvonal-kezelést hoz. Rendszerek, mint az Ubuntu (24.04, 24.10, 25.04), Debian, Red Hat, SUSE és Amazon Linux is érintettek. A régebbi verziók (< 1.9.14) nem támogatják a chroot funkciót, így nem sérülékenyek ezen hibára.

A PoC exploit bemutatása

Hogyan működik a kihasználás (exploit)

A PoC exploit során a támadó létrehoz egy saját környezetet, amely tartalmaz egy rosszindulatú nsswitch.conf fájlt és egy manipulált shared library (könyvtári) fájlt. A parancs futtatásakor a sudo belép a chroot környezetbe, elolvassa az nsswitch.conf-t, és az általa definiált szolgáltatások alapján betölti a támadó által kreált könyvtárat, amely rögtön root jogokat biztosít.

A parancs, amit a PoC használ:

sudo -R woot woot

Ebben az esetben a -R / –chroot opcióra épül a támadás, mivel a sudo nem ellenőrzi megfelelően a betöltendő konfigurációs és könyvtári fájlok helyét.

A támadó könyvtár és kód

A rosszindulatú nsswitch.conf utasítást ad arra, hogy egy nem létező szolgáltatást használjon (pl. /woot1337). A kapcsolódó woot1337.so.2 könyvtárban egy rövid C kód van, amely konstruktor attribútummal automatikusan fut: setreuid(0,0), setregid(0,0) és execl("/bin/bash", "/bin/bash", NULL) utasításokkal root shell-t indít.

Ez a mechanizmus egyszerűsége miatt nagyon veszélyes: néhány sor C kód elegendő a root szintű környezet eléréséhez.

Miért különösen veszélyes ez a hiba?

Alacsony belépési küszöb

A sebezhetőség helyi (local) környezetből kihasználható — nem igényel hálózati hozzáférést vagy magasabb jogosultságot. Ez azt jelenti, hogy egy kompromittált vagy korlátozott hozzáférésű felhasználó is élhet vele. A CVSS 3.1 értéke 9,3 (Critical), amely azt jelzi, hogy rendkívül súlyos kockázatot hordoz.

Jogosultság-kiterjesztés (privilege escalation)

A cél, hogy egy kevés jogosultsággal rendelkező felhasználó root privilégiumokhoz jusson. Ezzel a kompromittált rendszer teljes irányítását kapja meg: adatlopás, rendszerparancsok futtatása, oldalmozgás (lateral movement) lehetséges.

Aktív kihasználás

A CISA (U.S. Cybersecurity and Infrastructure Security Agency) már felvette a CVE-2025-32463-t a „Known Exploited Vulnerabilities” listájára, ami azt jelzi, hogy már valós környezetben is megfigyelhető exploitálási kísérlet. Ez sürgős intézkedést igényel minden érintett rendszer esetében.

Hogyan védhetjük ki?

Azonnali javítás (patching)

A leghatékonyabb védekezés a sudo 1.9.17p1 vagy újabb verzió telepítése, amely már tartalmazza a hibajavítást, illetve a chroot opciót eltávolításra jelzi. A disztribúciók — Ubuntu, Debian, Red Hat, SUSE — időközben kiadták a szükséges frissítéseket.

Konfigurációs óvintézkedések

Ha azonnal nem lehet frissíteni, ajánlott ideiglenesen kikapcsolni a –R / chroot opciót a sudoers konfigurációban. Emellett AppArmor vagy SELinux profilok beállítása szűkítheti a sudo által engedélyezett tevékenységek körét.

Monitorozás és észlelés

Fontos figyelni a sudo –R opció használatát, a szokatlan könyvtárstruktúrák létrehozását, rogue nsswitch.conf fájlokat és gyanús shared library aktivitást. Logok elemzése, SIEM rendszerek beállítása segíthet észlelni a támadási aktivitást.

Átfogó rendszerbiztonság

Az ilyen jellegű sebezhetőségek elkerülése érdekében ajánlott a legkevesebb jogosultság elve (principle of least privilege), rendszeres auditok, frissítések és biztonsági ellenőrzések bevezetése. A sudo továbbfejlesztése, és jobb konfigurációs alapok segíthetnek megelőzni, hogy ilyen hibák kijussanak a rendszerbe.

A CVE-2025-32463 egy olyan súlyos hiba a Sudo chroot opciójában, amely lehetőséget biztosít arra, hogy alacsony jogosultságú felhasználó root jogosultságot kapjon. A nyilvánosságra hozott PoC exploit azt bizonyítja, hogy a kihasználás nem elméleti lehetőség, hanem valós veszély. Minden rendszergazda és IT biztonsági szakember számára kiemelten fontos a sürgős frissítés, konfigurációs korlátozás és monitorozás bevezetése.

A jövőre nézve valószínű, hogy a sudo fejlesztői a chroot opció végleges eltávolítását tervezik, mivel ez a komponens többször került támadási felületként elő. Az eset rámutat arra, hogy még jól ismert rendszerszintű eszközök is hordozhatnak meglepő és veszélyes hibákat.