Lỗ hổng nghiêm trọng trong Sudo cho phép chiếm quyền root trên Linux

[WhiteHat Team]

Một lỗ hổng nghiêm trọng trong tiện ích Sudo trên Linux vừa được phát hiện, cho phép người dùng không có đặc quyền leo thang đặc quyền để chiếm quyền root – quyền cao nhất trên hệ thống. Lỗ hổng được định danh là CVE-2025-32463, ảnh hưởng đến các phiên bản Sudo từ 1.9.14 đến 1.9.17 và tồn tại ngay trong cấu hình mặc định của các bản phân phối Linux phổ biến như Ubuntu, Fedora.

Lỗ hổng này được đánh giá mức độ nghiêm trọng 9.8/10 theo thang CVSS 3.1, tức mức nguy hiểm cao nhất đối với lỗ hổng leo thang đặc quyền.

Chiếm quyền root chỉ với tài khoản thường​

Lỗ hổng CVE-2025-32463 do chuyên gia Rich Mirch thuộc nhóm Stratascale Cyber Research Unit phát hiện, bắt nguồn từ tính năng chroot (-R) ít được sử dụng trong Sudo. Tính năng này vô tình cho phép người dùng không có đặc quyền được thực thi các thao tác dưới quyền root trong môi trường thư mục do họ kiểm soát.

Khai thác tận dụng cơ chế Name Service Switch (NSS): kẻ tấn công tạo ra một thư mục giả lập chứa file cấu hình /etc/nsswitch.conf tùy chỉnh, trỏ tới một thư viện .so độc hại. Khi Sudo thực thi, nó sẽ tải thư viện này với quyền root, từ đó cấp toàn quyền truy cập cho kẻ tấn công.

PoC đơn giản, tác động lớn​

Để khai thác CVE-2025-32463, kẻ tấn công chỉ cần một tài khoản thường có quyền ghi thư mục. Mã khai thác mẫu (proof-of-concept) cho thấy có thể sử dụng gcc để biên dịch một thư viện .so chứa đoạn mã thiết lập UID, GID về 0 (tương ứng với root), rồi khởi chạy một shell root (/bin/bash). Việc thực hiện không cần bất kỳ quy tắc Sudo nào đã được cấu hình sẵn, càng làm tăng mức độ nguy hiểm.

Theo chuyên gia WhiteHat: “Vấn đề nằm ở chỗ không cần đặc quyền, không cần cấu hình gì thêm. Người dùng bình thường cũng có thể chiếm toàn quyền hệ thống nếu lỗ hổng không được vá, đây là tình huống cực kỳ nguy hiểm trong môi trường máy chủ Linux.”

Không có giải pháp tạm thời, cập nhật là bắt buộc​

CVE-2025-32463 ảnh hưởng trực tiếp đến các phiên bản Sudo được cài theo mặc định. Kết quả kiểm tra cho thấy Ubuntu 24.04.1 (với Sudo 1.9.15p5, 1.9.16p2) và Fedora 41 đều dễ bị khai thác. Điều đáng lo ngại là hiện không tồn tại bất kỳ biện pháp khắc phục tạm thời nào. Cách duy nhất để phòng tránh là cập nhật ngay lên phiên bản Sudo 1.9.17p1 hoặc mới hơn.

Theo nhóm phát triển Sudo, bản vá đã loại bỏ hoàn toàn các hàm nguy hiểm như pivot_root() và unpivot_root(), đồng thời chặn khả năng truy cập vào cấu hình từ các môi trường không tin cậy của hệ thống Name Service Switch (NSS). Đây là bước xử lý dứt điểm nhằm ngăn chặn triệt để hành vi leo thang đặc quyền qua tùy chọn chroot.

Chuyên gia WhiteHat khuyến nghị​

Theo các chuyên gia của WhiteHat, để bảo vệ hệ thống trước nguy cơ bị chiếm quyền điều khiển, các quản trị viên cần khẩn trương thực hiện các biện pháp sau:

• Kiểm tra phiên bản Sudo hiện tại đang được cài đặt trên hệ thống. Nếu nằm trong khoảng từ 1.9.14 đến 1.9.17, hệ thống đang tiềm ẩn nguy cơ nghiêm trọng
• Cập nhật ngay lên phiên bản 1.9.17p1 hoặc mới hơn, vì đây là bản vá chính thức duy nhất loại bỏ hoàn toàn lỗ hổng
• Theo dõi hệ thống log, tìm kiếm các dấu hiệu bất thường như truy cập trái phép, tiến trình khả nghi hoặc thay đổi quyền truy cập, đây có thể là dấu hiệu của việc khai thác đã diễn ra
• Hạn chế quyền ghi của người dùng không đặc quyền vào các thư mục có thể bị lợi dụng để tạo môi trường chroot giả, đặc biệt là các thư mục tạm thời hoặc do người dùng tự tạo.

Chuyên gia WhiteHat nhấn mạnh: “Đây là lỗ hổng có thể bị khai thác ngay cả khi không có bất kỳ quyền sudo nào được cấu hình cho người dùng tấn công. Do đó, mức độ nguy hiểm và khả năng bị khai thác trong thực tế là rất cao.”

Theo Cyber Security News và WhiteHat​