یک آسیبپذیری بحرانی افزایش سطح دسترسی محلی در ابزار sudo افشا شده است که به کاربران با سطح دسترسی پایین اجازه میدهد از طریق قابلیت chroot به دسترسی root دست پیدا کنند. این نقص با شناسه CVE-2025-32463 و امتیاز CVSS v3.1 برابر با 9.3 (بحرانی) ثبت شده و نسخههای sudo از 1.9.14 تا 1.9.17 را تحت تأثیر قرار میدهد و سیستمهای لینوکسی و شبهیونیکسی را در بر میگیرد. این مشکل به مهاجمان امکان میدهد حتی اگر در فایل sudoers تعریف نشده باشند، دستورات دلخواه را با سطح دسترسی root اجرا کنند؛ موضوعی که میتواند به تصرف کامل سیستم، استخراج دادهها یا استقرار بدافزار ماندگار منجر شود. نسخههای قدیمیتر از 1.9.14 تحت تأثیر نیستند، زیرا گزینه chroot آسیبپذیر را ندارند. این آسیبپذیری در نسخه sudo 1.9.17p1 برطرف شده و به کاربران توصیه میشود برای ایمنسازی محیطهای چندکاربره فوراً بهروزرسانی کنند.
جزئیات فنی CVE-2025-32463 از یک خطای منطقی در نحوه پردازش گزینه –chroot (-R) در sudo سوءاستفاده میکند؛ بهطوریکه حل مسیرها داخل محیط chroot پیش از بررسی فایل sudoers انجام میشود. مهاجم میتواند یک دایرکتوری chroot تحت کنترل کاربر، برای مثال در /tmp ایجاد کند که شامل یک فایل /etc/nsswitch.conf مخرب باشد و کتابخانههای اشتراکی جعلی مانند libnss_malicious.so.2 را بارگذاری کند. زمانی که sudo پس از chroot با سطح root اجرا میشود، توابعی مانند getpwuid باعث فراخوانی dlopen روی کتابخانه مخرب شده و کد دلخواه از طریق سازنده آن اجرا میشود. این کار بدون مجوز sudoers یک شل root در اختیار مهاجم قرار میدهد.
این حمله به دسترسی محلی نیاز دارد و روی سیستمهایی که از /etc/nsswitch.conf پشتیبانی میکنند امکانپذیر است و پیچیدگی پایینی دارد؛ شامل آمادهسازی دایرکتوری، پیکربندی NSS، کامپایل کتابخانه و اجرای یک دستور sudo مانند:
sudo -R /tmp/my_chroot /usr/bin/id
اثر این آسیبپذیری شامل کنترل کامل سیستم است و با تکنیکهای پسابهرهبرداری همراستا محسوب میشود. اصلاحیه در نسخه 1.9.17p1 تضمین میکند که بررسی مجوزها پیش از بارگذاری NSS انجام شود و همچنین قابلیت chroot را منسوخ میکند.
اثبات مفهومی (PoC) یک اکسپلویت PoC عمومی برای CVE-2025-32463 در GitHub منتشر شده است که شامل اسکریپتهایی مانند sudo-chwoot.sh میشود و با ایجاد محیط chroot و بارگذاری یک ماژول NSS مخرب، افزایش سطح دسترسی تا Shell root را نشان میدهد. PoCهای دیگری نیز وجود دارند، از جمله نمونههایی که حمله را در کانتینرهای Docker برای تست شبیهسازی میکنند.
بهرهبرداری فعال تأیید شده که CVE-2025-32463 بهصورت فعال در دنیای واقعی مورد سوءاستفاده قرار میگیرد؛ این موضوع با اضافه شدن آن به فهرست Known Exploited Vulnerabilities (KEV) توسط CISA در تاریخ 29 سپتامبر 2025 مشخص شده است. مهاجمان از این نقص برای افزایش سطح دسترسی محلی روی سیستمهای لینوکسی استفاده میکنند و از نهادهای فدرال خواسته شده تا حداکثر تا 20 اکتبر 2025 آن را برطرف کنند. هرچند این نقص مستقیماً به باجافزار مرتبط نیست، اما زمینه را برای نفوذ عمیقتر در شبکه فراهم میکند.
کاهش ریسک موقت
• جلوگیری از استفاده از پرچم –chroot (-R) با افزودن سیاست مناسب در sudoers
• Mount کردن /tmp و دایرکتوریهای قابل نوشتن با گزینه noexec
• فعالسازی ممیزی برای فراخوانیهای sudo و بارگذاری کتابخانهها
• محدود کردن دسترسی نوشتن کاربران به مسیرهای بالقوه chroot
• بازبینی و حذف دسترسیهای غیرضروری sudo
کاهش ریسک دائمی
• نصب sudo 1.9.17p1 یا نسخههای جدیدتر
• فعالسازی SELinux یا AppArmor برای محدودسازی sudo
• پیکربندی sudoers برای غیرفعالسازی chroot بهصورت سراسری
• استفاده از راهکارهای EDR برای شناسایی تهدید
• اجرای ماهانه Lynis یا OpenVAS
• فعالسازی لاگگیری و ممیزی برای sudo
شرکت مدیران شبکه برنا با بیش از ده سال سابقه فعالیت تخصصی در حوزه امنیت سایبری، آماده ارائه خدمات و راهکارهای جامع امنیتی به سازمانها و کسبوکارها در حوزههای مختلف از جمله Endpoint Security، EDR، DLP، Threat Intelligence، PAM و سایر راهکارهای پیشرفته امنیت اطلاعات میباشد.
در ارتباط با آسیبپذیری مطرحشده، این شرکت استفاده از راهکار ESET Inspect را بهعنوان یکی از ابزارهای مؤثر در شناسایی، پایش و پاسخ به تهدیدات امنیتی توصیه میکند. این راهکار با قابلیتهای پیشرفته در تشخیص رفتارهای مشکوک و حملات افزایش سطح دسترسی، میتواند نقش مهمی در کاهش ریسک و ارتقای سطح امنیت زیرساختهای سازمانی ایفا کند.
