Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило, что хакеры активно эксплуатируют критическую уязвимость (CVE-2025-32463) в утилите sudo, которая позволяет выполнять команды в Linux с привилегиями уровня root.
Напомним, что эта проблема была обнаружена экспертами компании Stratascale летом 2025 года. Как тогда сообщали исследователи, CVE-2025-32463, набравшая 9,3 балла по шкале CVSS, затрагивает sudo до версии 1.9.17p1. Уязвимость позволяет локальным пользователям получить root-доступ, поскольку файл /etc/nsswitch.conf из каталога, контролируемого пользователем, используется с опцией -R (chroot).
«Конфигурация sudo уязвима по умолчанию, — объясняли исследователи. — Хотя проблема связана с функцией chroot в sudo, для ее эксплуатации не требуется, чтобы в sudoers были определены какие-либо правила для конкретного пользователя. В результате любой локальный непривилегированный пользователь может повысить свои привилегии до уровня root».
То есть злоумышленник может обманом вынудить sudo загрузить произвольную общую библиотеку, создав конфигурационный файл /etc/nsswitch.conf в указанном пользователем корневом каталоге, что может привести к выполнению вредоносных команд с повышенными привилегиями.
Как тогда сообщал мейнтейнер sudo Тодд Миллер (Todd C. Miller), опция chroot будет полностью удалена из будущего релиза sudo, а поддержка указанного пользователем корневого каталога в целом «чревата возникновением ошибок».
В июле специалисты Stratascale опубликовали PoC-эксплоит для CVE-2025-32463, а также в открытом доступе появились другие эксплоиты, вероятно, созданные на базе технического отчета экспертов.
Как теперь предупреждает CISA, уязвимость CVE-2025-32463 уже применяется в реальных атаках, хотя ведомство не уточняет, в каких именно инцидентах и каким образом злоумышленники используют этот баг.
