Kritična ranjivost u sudo (CVE-2025-32463)

Sadržaj
‍
CISA je upozorila na kritičnu ranjivost u sudo alatu koja se aktivno iskorištava te ju je dodala u KEV katalog. Ranjivost CVE-2025-32463 omogućuje lokalno eskaliranje ovlasti do root-a na Linux/Unix sustavima (zahvaćene verzije prije sudo 1.9.17p1). Dostupne su zakrpe u repozitorijima distribucija.

Detalji
‍
Ranjivost CVE-2025-32463 proizlazi iz načina na koji sudo u novijim granama (≈ 1.9.14 – 1.9.17, zakrpano u 1.9.17p1) inicijalizira okruženje kada se koristi chroot način (opcija --chroot / -R). Pri startu u tom režimu sudo kao root učitava konfiguraciju NSS-a (/etc/nsswitch.conf) iz novog “korijena” (tj. putanje navedene u -R). Ako nepovlašteni lokalni korisnik smije pokrenuti bilo što kroz taj chroot (tipično kroz neki operativni ili CI/DEV alat/skriptu koji poziva sudo -R …), on može pripremiti vlastitu strukturu chroot-a s lažnim nsswitch.conf i NSS modulom (npr. libnss_myev.so.2).

Kada sudo u chrootu obavlja uobičajene pozive za rezoluciju korisnika/grupa/hostova (npr. getpwnam(), getgrgid(), getaddrinfo()), glibc prema pravilima iz lažnog nsswitch.conf dinamički učita zlonamjernu knjižnicu iz attacker-kontroliranog puta i to prije spuštanja privilegija, pa se njezin inicijalizacijski kod izvršava s root ovlastima. Zbog toga napadač ne mora biti naveden u sudoers niti mora imati neki poseban TTY/pty kontekst; dovoljan je lokalni pristup i mogućnost pokretanja procesa koji završe pozivom sudo -R  (u praksi: loše napisani wrapperi/skripte, build alati, automatizacije koje koriste chroot).
‍
Tipičan iskorištaj izgleda ovako: (1) napadač lokalno pripremi direktorij R/ s etc/nsswitch.conf koji npr. sadrži redak passwd: files myev (2) u R/lib/ postavi libnss_myev.so.2 s malicioznim init kodom (3) potakne izvršavanje sudo -R R <bilo_koja_naredba> (izravno ili posredno kroz skriptu/alata). sudo zatim u fazi inicijalizacije, pri učitavanju NSS-a, dlopen-a biblioteku i napadač dobiva RCE kao root. U zapisima se incident može vidjeti tek kroz općenite tragove o čudnim sudo pozivima s -R, neočekivane putanje za NSS module ili kroz kernel log/auditd zapise o dinamičkom učitavanju knjižnica iz nestandardnih lokacija.
‍
Utjecaj je najizraženiji na sustavima s glibc/NSS modulima (uobičajene enterprise distribucije). Eksploatacija nije udaljena: zahtijeva lokalni kod/korisnika koji može pokrenuti proces što završava pozivom sudo u chrootu, no u stvarnim okruženjima to se često događa kroz CI/CD agente, pomoćne instalere, paketne alate ili backup/restore procedure. Zbog potvrđenog iskorištavanja u praksi CISA ga je uvrstila u KEV i preporučila prioritetno zakrpavanje na svim poslužiteljima i radnim stanicama te dodatni nadzor skripti i servisa koji koriste -R.

Preporuka
‍
• Ažurirati sudo na ≥ 1.9.17p1 na svim Linux/Unix sustavima (serveri, radne stanice, kontejnerske baze, ugrađeni OS-ovi). Provjeriti repozitorije i sigurnosne obavijesti distribucije.
• Provjera izloženosti: sudo -V i usporediti verziju; pregledati konfiguracije koje koriste --chroot i ukloniti/ograničiti ih dok se ne ažurira.
• Ograničiti lokalni pristup na sustavima gdje patch kasni (privremeno onemogućiti shell pristup neadministrativnim korisnicima, ojačati PAM/SSH politike).
• Nadzor i IOC-i: pratiti neuobičajena pozivanja sudo s -R/--chroot, izmjene u /etc/nsswitch.conf, neočekivane UID 0 procese i zapise o neuspjelim/uspjelim eskalacijama.

Reference
‍
•https://thehackernews.com/2025/09/cisa-sounds-alarm-on-critical-sudo-flaw.html
• https://nvd.nist.gov/vuln/detail/CVE-2025-32463
• https://www.securityweek.com/organizations-warned-of-exploited-sudo-vulnerability/

‍