Hàng triệu hệ thống Linux và Unix đã phải đối mặt với những rủi ro bảo mật nghiêm trọng do sự xuất hiện của hai lỗ hổng trong Sudo, một công cụ cơ bản cho phép người dùng thực hiện các lệnh với quyền hạn nâng cao theo cách được kiểm soát. Những lỗi này, được xác định là CVE-2025-32462 y CVE-2025-32463, gần đây đã được các chuyên gia an ninh mạng phân tích và báo cáo, cảnh báo về tác động của chúng và tính cấp thiết của việc áp dụng các bản vá.
Phát hiện này đã khiến các quản trị viên hệ thống và các công ty phải cảnh giác, vì Sudo có mặt theo mặc định trong hầu hết các bản phân phối GNU/Linux và các hệ thống tương tự, chẳng hạn như macOS. Cả hai lỗi đều cho phép leo thang đặc quyền từ các tài khoản không có quyền quản trị, làm ảnh hưởng đến tính toàn vẹn của máy tính bị ảnh hưởng.
Sudo là gì và tại sao nó lại quan trọng đến vậy?
Sudo là một tiện ích thiết yếu trong môi trường Unix, được sử dụng để chạy các tác vụ quản trị mà không cần phải đăng nhập với tư cách là rootCông cụ này cung cấp khả năng kiểm soát chi tiết về việc người dùng nào có thể thực hiện các lệnh nhất định, giúp duy trì nguyên tắc đặc quyền tối thiểu và ghi lại mọi hành động cho mục đích kiểm tra.
Cấu hình Sudo được quản lý từ tập tin / etc / sudoers, cho phép bạn xác định các quy tắc cụ thể dựa trên người dùng, lệnh hoặc máy chủ, một biện pháp phổ biến để tăng cường bảo mật trong cơ sở hạ tầng lớn.
Chi tiết kỹ thuật về lỗ hổng Sudo
CVE-2025-32462: Lỗi tùy chọn máy chủ
Lỗ hổng này đã ẩn trong mã của Sudo trong hơn một thập kỷ., ảnh hưởng đến các phiên bản ổn định từ 1.9.0 đến 1.9.17 và các phiên bản cũ từ 1.8.8 đến 1.8.32. Nguồn gốc của nó nằm ở tùy chọn -h o --host, ban đầu nên được giới hạn trong việc liệt kê các đặc quyền cho các máy tính khác Tuy nhiên, do lỗi điều khiển, nó có thể được sử dụng để thực thi lệnh hoặc chỉnh sửa tệp với tư cách là root trên chính hệ thống.
Vectơ tấn công tận dụng các cấu hình cụ thể trong đó các quy tắc Sudo bị hạn chế đối với một số máy chủ hoặc mẫu tên máy chủ nhất định.. Do đó, người dùng cục bộ có thể đánh lừa hệ thống bằng cách giả vờ thực thi lệnh trên máy chủ được ủy quyền khác và giành được quyền truy cập root. không cần phải khai thác phức tạp.
Việc khai thác lỗi này đặc biệt đáng lo ngại trong môi trường doanh nghiệp, nơi các chỉ thị Host hoặc Host_Alias thường được sử dụng để phân đoạn quyền truy cập. Không cần mã khai thác bổ sung, chỉ cần gọi Sudo với tùy chọn -h và máy chủ được phép bỏ qua các hạn chế.
CVE-2025-32463: Lạm dụng chức năng Chroot
Trong trường hợp của CVE-2025-32463, mức độ nghiêm trọng lớn hơn: Một lỗ hổng trong phiên bản 1.9.14 năm 2023 trong hàm chroot cho phép bất kỳ người dùng cục bộ nào thực thi mã tùy ý từ các đường dẫn do họ kiểm soát, giành được quyền quản trị viên.
Cuộc tấn công dựa trên sự thao túng của hệ thống Name Service Switch (NSS). Bằng cách chạy Sudo với tùy chọn -R (chroot) và thiết lập một thư mục do kẻ tấn công kiểm soát làm root, Sudo tải các cấu hình và thư viện từ môi trường bị thao túng này. Kẻ tấn công có thể buộc tải một thư viện chia sẻ độc hại (ví dụ, thông qua /etc/nsswitch.conf (một bản giả và một thư viện được chuẩn bị trong chroot root) để có được root shell trên hệ thống. Sự tồn tại của lỗi này đã được xác nhận trong một số bản phân phối, vì vậy bạn nên cập nhật các bản cập nhật mới nhất.
Tính đơn giản của kỹ thuật này đã được kiểm chứng trong các tình huống thực tế, chỉ sử dụng trình biên dịch C để tạo thư viện và khởi chạy lệnh thích hợp bằng Sudo. Không cần sự tinh vi về mặt kỹ thuật hoặc cấu hình phức tạp.
Hai lỗ hổng này đã được xác minh trong các phiên bản gần đây của Ubuntu, Fedora và macOS Sequoia, mặc dù các bản phân phối khác cũng có thể bị ảnh hưởng. Để bảo vệ tốt hơn, điều cần thiết là áp dụng các bản cập nhật do nhà phát triển khuyến nghị.
Những gì người quản trị và người dùng nên làm
Biện pháp hiệu quả duy nhất là cập nhật Sudo lên phiên bản 1.9.17p1 hoặc mới hơn, vì trong bản phát hành này, các nhà phát triển đã khắc phục cả hai sự cố: Tùy chọn máy chủ đã bị hạn chế sử dụng hợp pháp và chức năng chroot đã nhận được những thay đổi về đường dẫn và quản lý thư viện.Các bản phân phối chính như Ubuntu, Debian, SUSE và Red Hat đã phát hành các bản vá tương ứng và kho lưu trữ của chúng có các phiên bản an toàn.
Các chuyên gia an ninh cũng khuyến cáo kiểm tra các tập tin /etc/sudoers y /etc/sudoers.d để xác định các cách sử dụng có thể có của lệnh Host hoặc Host_Alias và kiểm tra xem có quy tắc nào cho phép khai thác lỗi hay không.
Không có giải pháp thay thế hiệu quả nào. Nếu bạn không thể cập nhật ngay lập tức, bạn nên theo dõi chặt chẽ các hạn chế về quyền truy cập và hành chính, mặc dù nguy cơ phơi nhiễm vẫn cao. Để tìm hiểu thêm về các biện pháp và khuyến nghị, hãy xem hướng dẫn này trên cập nhật bảo mật trong Linux.
Sự cố này nhấn mạnh tầm quan trọng của việc kiểm tra bảo mật thường xuyên và cập nhật các thành phần thiết yếu như Sudo. Sự tồn tại của các lỗi ẩn trong hơn một thập kỷ trong một tiện ích phổ biến như vậy là lời nhắc nhở rõ ràng về mối nguy hiểm của việc mù quáng dựa vào các công cụ cơ sở hạ tầng mà không được xem xét liên tục.
Việc phát hiện ra các lỗ hổng này trong Sudo nhấn mạnh tầm quan trọng của các chiến lược vá lỗi và kiểm tra chủ động. Quản trị viên và tổ chức nên xem xét hệ thống của mình, áp dụng các bản vá có sẵn và luôn cảnh giác với các sự cố trong tương lai ảnh hưởng đến các thành phần quan trọng của hệ điều hành.
