-
09/04/2020
-
115
-
1.147 bài viết
Cảnh báo lỗ hổng nghiêm trọng trong sudo trên Linux và Unix đang bị khai thác
Các chuyên gia an ninh mạng gần đây đã phát hiện một lỗ hổng nghiêm trọng trong tiện ích sudo trên hệ điều hành Linux và Unix, được theo dõi với mã CVE-2025-32463. Lỗ hổng này đang bị khai thác tích cực, cho phép kẻ tấn công sở hữu quyền sudo hạn chế leo thang thành quyền root, từ đó có thể đánh cắp dữ liệu, gián đoạn dịch vụ và cài đặt mã độc trên hệ thống.
Bản chất của CVE-2025-32463 liên quan đến cách sudo xử lý tùy chọn --chroot. Thay vì sử dụng các bản sao tin cậy của tập tin cấu hình và thư viện hệ thống, sudo có thể vô tình tải những tệp nằm trong thư mục chroot do người dùng kiểm soát, điển hình là /etc/nsswitch.conf hoặc các thư viện chia sẻ. Một kịch bản khai thác phổ biến là kẻ tấn công chuẩn bị trước một cây thư mục chroot chứa tập tin cấu hình giả mạo hoặc shared object độc hại, rồi khởi chạy sudo -R để buộc sudo sử dụng các tài nguyên đó với quyền root. Kết quả là leo thang đặc quyền hoàn toàn, cho phép thực thi lệnh với UID 0 và kiểm soát toàn bộ hệ thống. Phiên bản sudo bị ảnh hưởng bao gồm các bản trước 1.9.17p1 (ví dụ 1.9.14–1.9.17).
Các nhà phân tích đã xác nhận có hoạt động khai thác lỗ hổng ngoài thực tế và mức độ rủi ro được đánh giá rất cao với điểm CVSS 9.3. Một tài khoản có quyền sudo được cấu hình lỏng lẻo có thể trở thành “cửa hậu” dẫn tới thỏa hiệp toàn bộ máy chủ, từ đánh cắp dữ liệu, cài backdoor, đến di chuyển ngang trong hạ tầng. Vì sudo là tiện ích nền tảng trên hầu hết các bản phân phối Unix‑like, nguy cơ lan rộng trên cả máy chủ vật lý, máy ảo và môi trường đám mây. Do đó, việc rà soát phiên bản và cấu hình sudo trên mọi host phải được thực hiện ngay.
Để kiểm tra liệu hệ thống của bạn có đang bị khai thác thông qua CVE-2025-32463 hay không, chạy ngay những bước rà soát sau.
Bản chất của CVE-2025-32463 liên quan đến cách sudo xử lý tùy chọn --chroot. Thay vì sử dụng các bản sao tin cậy của tập tin cấu hình và thư viện hệ thống, sudo có thể vô tình tải những tệp nằm trong thư mục chroot do người dùng kiểm soát, điển hình là /etc/nsswitch.conf hoặc các thư viện chia sẻ. Một kịch bản khai thác phổ biến là kẻ tấn công chuẩn bị trước một cây thư mục chroot chứa tập tin cấu hình giả mạo hoặc shared object độc hại, rồi khởi chạy sudo -R để buộc sudo sử dụng các tài nguyên đó với quyền root. Kết quả là leo thang đặc quyền hoàn toàn, cho phép thực thi lệnh với UID 0 và kiểm soát toàn bộ hệ thống. Phiên bản sudo bị ảnh hưởng bao gồm các bản trước 1.9.17p1 (ví dụ 1.9.14–1.9.17).
Các nhà phân tích đã xác nhận có hoạt động khai thác lỗ hổng ngoài thực tế và mức độ rủi ro được đánh giá rất cao với điểm CVSS 9.3. Một tài khoản có quyền sudo được cấu hình lỏng lẻo có thể trở thành “cửa hậu” dẫn tới thỏa hiệp toàn bộ máy chủ, từ đánh cắp dữ liệu, cài backdoor, đến di chuyển ngang trong hạ tầng. Vì sudo là tiện ích nền tảng trên hầu hết các bản phân phối Unix‑like, nguy cơ lan rộng trên cả máy chủ vật lý, máy ảo và môi trường đám mây. Do đó, việc rà soát phiên bản và cấu hình sudo trên mọi host phải được thực hiện ngay.
Để kiểm tra liệu hệ thống của bạn có đang bị khai thác thông qua CVE-2025-32463 hay không, chạy ngay những bước rà soát sau.
- Kiểm tra phiên bản sudo bằng lệnh sudo --version hoặc qua hệ quản lý gói như dpkg -l sudo, rpm -q sudo hoặc apk info sudo. Nếu phiên bản thấp hơn 1.9.17p1, hệ thống có nguy cơ bị ảnh hưởng
- Tìm các cuộc gọi sudo sử dụng tùy chọn -R hoặc --chroot trong nhật ký hệ thống, ví dụ bằng grep -R -- '-R\|--chroot' /var/log/auth.log* /var/log/secure*. Mọi cuộc gọi sudo với chroot từ tài khoản lạ cần được điều tra ngay
- Kiểm tra sự xuất hiện của các bản sao /etc/nsswitch.conf hoặc các shared object trong thư mục home hoặc thư mục tạm do người dùng tạo, vì sự tồn tại của các tệp cấu hình hay thư viện trong đường dẫn có thể chỉ ra nỗ lực chuẩn bị chroot độc hại
- Kích hoạt và cấu hình auditd để giám sát các cuộc gọi execve từ người dùng không phải root và thiết lập cảnh báo cho các lần gọi sudo có -R; thu thập log này sẽ hỗ trợ điều tra và phát hiện hành vi leo thang đặc quyền sớm
- Cập nhật bản vá từ nhà cung cấp ngay khi có sẵn để ngăn chặn kẻ tấn công khai thác lỗ hổng
- Nếu bản vá chưa được phát hành, tạm thời vô hiệu hóa tùy chọn -R (chroot) trong sudo
- Siết chặt quyền sudo theo nguyên tắc tối thiểu đặc quyền, chỉ cấp quyền cần thiết cho người dùng
- Tăng cường giám sát nhật ký sudo để phát hiện các hành vi bất thường hoặc dấu hiệu khai thác
- Kiểm thử mọi bản vá trong môi trường không phải sản xuất trước khi triển khai diện rộng, nhằm tránh gián đoạn dịch vụ
Theo Cyber Press