Хакери активно експлоатират сериозна уязвимост в една от най-опасните програми за Linux. В резултат на това, американските киберсигурностни власти дадоха указание на правителствените агенции да адресират и отстранят уязвимостта в Sudo, както и още четири софтуерни продукта до 20 октомври.
Центърът за сигурност на киберпространството и инфраструктурата на САЩ (CISA) добави критичната уязвимост в програмата Sudo към своя списък KEV (от активно експлоатирани уязвимости). Това обозначава, че правителствените агенции следва да вземат незабавни мерки, за да се справят с това сериозно нарушение на сигурността.
Списъкът е обновен в понеделник и в него са включени още четири уязвимости, от които най-значимата е CVE-2025-32463 (с оценка CVSS 9.3). Тази уязвимост засяга всички версии на Sudo преди 1.9.17p1 и е налична в различни Linux дистрибуции, както и в Unix-подобни системи.
Възможности за нападение
„Sudo съдържа уязвимост, която позволява извикване на функционалност на трети страни, без да се проверява обхватът на нейния контрол“, посочи CISA в своя публикация. „Тази уязвимост позволява на локален хакер да използва опцията sudo -R (chroot), за да изпълнява произволни команди като root, дори ако този потребител не е в списъка със sudoers“.
Sudo, като помощна програма за команден ред в Linux и Unix-подобни системи, предоставя възможността на непривилегировани потребители да изпълняват команди с администраторски права или права на други привилегировани потребители.
Това означава, че Sudo предоставя ограничен достъп до функции, които обикновено изискват администраторски права. Файлът sudoers е ключов документ, който определя правата на потребителите и командите, които могат да се изпълняват през sudo.
Въпреки че публикацията на CISA не предоставя специализирани детайли относно конкретните методи за експлоатация на уязвимостта CVE-2025-32463, информацията стана явна през юли на тази година чрез публикация на изследователя по сигурността Рич Мирч от Stratascale.
В своя доклад той подчертава, че уязвимостта е била успешно експлоатирана на системи, работещи с Ubuntu 24.04.1 (Sudo 1.9.15p5, Sudo 1.9.16p2) и Fedora 41 Server (Sudo 1.9.15p5).
Допълнително, Hacker News споменава множество Linux дистрибуции, чиито разработчици и общности са публикували бюлетини за сигурност относно наличието на тази уязвимост. Освен Ubuntu, в списъка са включени и Alpine Linux, Amazon Linux, Debian, Gentoo и Red Hat.
Това не е първият случай, в който експерти разкриват уязвимости в Sudo. Когато една такава широко използвана и критична помощна програма се окаже уязвима, последствията могат да бъдат значителни. Затова, разрешаването на уязвимости в Sudo следва да бъде приоритет за всяка организация.
Допълнителни четири уязвимости
CISA добави и четири нови уязвимости към списъка със спешно необходими корекции. Тези уязвимости не са свързани с Sudo.
Най-старата от тях е CVE-2021-21311, която представлява уязвимост за подправяне на заявки към сървър в системата за управление на бази данни Adminer. Тази уязвимост позволява на атакуващите да извлекат чувствителна информация. Според Google Mandiant, експлойтът е открит през 2022 г. и атаките се свързват с група заплахи, известна като UNC2903.
Другата уязвимост, CVE-2025-20352, представлява грешка при препълване на буфера в Simple Network Management Protocol (SNMP) в Cisco IOS и IOS XE с оценка 7.7. Тя може да доведе до срив на системата или дори до изпълнение на злонамерен код. Тази уязвимост не е извеждана в контекста на комбинираните CVE-2025-20362 и CVE-2025-20333.
Третата уязвимост, която беше добавена в списъка KEV, е CVE-2025-10035, представляваща грешка в Fortra GoAnywhere MFT, която води до десериализация на ненадеждни данни. Потенциален нападател може да използва тази уязвимост за извършване на инжектиране на команди. Експлойтът за нея бе разкрит миналата седмица от watchTowr Labs.
Последната уязвимост е CVE-2025-29689, която е идентифицирана в Libraesva Email Security Gateways. Тя позволява на нападателя да извърши инжектиране на команди чрез компресиран прикачен файл, приложен към имейл.
CISA постанови на всички федерални агенции на САЩ незабавно да предприемат действия за отстраняване на тези уязвимости, а срокът за изпълнение е до 20 октомври 2025 г.
За автора
Влезте в нашия Telegram канал! Натиснете тук .
