駭客目前正積極利用 Linux 作業系統中 sudo 套件的嚴重漏洞 CVE-2025-32463,該漏洞允許以 root 權限執行命令。
美國網路安全暨基礎設施安全局 (CISA) 已將此漏洞列入其「已知被利用漏洞」目錄中,並要求所有聯邦機構必須在 10 月 20 日前實施官方緩解措施或停止使用 sudo。
即使未被列入 sudoers 文件中,本地攻擊者可以利用 -R (chroot) 選項提升權限。Sudoers 是指定哪些用戶或群組被授權執行提升權限命令的配置文件。而 Sudo("superuser do")讓系統管理員能將權限委託給特定非特權用戶,同時記錄所執行的命令及參數。
CVE-2025-32463 漏洞於 2025 年 6 月 30 日正式公開,影響 sudo 1.9.14 至 1.9.17 版本,並獲 9.3/10 的嚴重評分。 安全公告指出,即使攻擊者未被列入 sudoers 文件中,也能利用 sudo 的 -R (chroot) 選項以 root 權限執行任意命令。
網路安全服務公司 Stratascale 的研究員 Rich Mirch 發現了 CVE-2025-32463 漏洞,指出此問題影響 sudo 的默認配置,且無需任何用戶預定義規則即可被利用。Mirch 於 7 月 4 日發布了該漏洞的概念驗證利用代碼。此漏洞自 2023 年 6 月 sudo 1.9.14 版本發布以來一直存在,且自 7 月 1 日起,其他可能衍生自技術文章的漏洞利用代碼已開始在網上流傳。
CISA 警告 sudo 中的 CVE-2025-32463 漏洞正被用於實際攻擊中,但尚未具體說明此漏洞被利用的特定事件類型。全球組織應參考 CISA 的「已知被利用漏洞」目錄,將其作為優先修補和實施安全措施的依據。
防護建議
- 立即更新至已修補的 sudo 版本
- 若無法立即更新,考慮暫時停用 sudo 的 -R 或 chroot 選項
- 加強監控系統用戶權限
- 定期檢查 sudo 使用日誌,尋找可疑活動
本文轉載自 BleepingComputer。