CVE-2025-32463 Sudo-Lokale Privilegeskalation

Zusammenfassung

CVE-2025-32463 ist eine kritische Schwachstelle zur lokalen Privilegeskalation (LPE) im Sudo-Befehlszeilenprogramm, die Versionen 1.9.14 bis 1.9.17 betrifft. Sie ermöglicht lokalen Benutzern, Root-Rechte zu erlangen, indem sie die --chroot (-R)-Option ausnutzen, aufgrund einer fehlerhaften Handhabung der /etc/nsswitch.conf-Datei in einem benutzerkontrollierten Verzeichnis. Die Schwachstelle wurde im Juni 2025 von der Stratascale Cyber Research Unit entdeckt, hat einen CVSS-Score von 9.3 (Kritisch) und betrifft gängige Linux-Distributionen (z. B. Ubuntu, Fedora) sowie macOS Sequoia. Sie wurde in Sudo-Version 1.9.17p1 behoben.

Details

• Ursache: Eine Änderung in Sudo 1.9.14 führte zu einem Fehler, bei dem Pfade in einer benutzerdefinierten Chroot-Umgebung aufgelöst werden, bevor die Sudoers-Richtlinie vollständig geprüft wird. Dies ermöglicht es Angreifern, eine bösartige /etc/nsswitch.conf-Datei im Chroot-Verzeichnis zu platzieren, die Sudo anweist, beliebige gemeinsam genutzte Bibliotheken (z. B. libnss_/woot1337.so.2) zu laden, was zu einer Root-Privilegeskalation führt.
• Ausnutzung: Ein Angreifer mit lokalem Zugriff und eingeschränkten Sudo-Rechten kann die --chroot-Option nutzen, um auf ein Verzeichnis mit einer bösartigen Konfigurationsdatei zu verweisen, was die Ausführung beliebigen Codes als Root ermöglicht. Es gibt Proof-of-Concept-Exploits, von denen einige keine Tools wie gcc auf dem Zielsystem benötigen.
• Betroffene Systeme:
  • Sudo-Versionen 1.9.14 bis 1.9.17 (alle Vorversionen).
  • Linux-Distributionen wie Ubuntu (25.04 Plucky, 24.10 Oracular, 24.04 LTS Noble), Fedora und andere.
  • macOS Sequoia (Unix-basiert).
  • Ältere Sudo-Versionen (z. B. 1.8.8-1.8.32) sind nicht betroffen, da ihnen die Chroot-Funktion fehlt.
• Auswirkungen: Eine erfolgreiche Ausnutzung gewährt vollständige Systemkontrolle, was aufgrund der weitreichenden Nutzung von Sudo in Unix-ähnlichen Systemen ein hohes Risiko darstellt.

Abhilfe

• Update: Aktualisieren Sie auf Sudo-Version 1.9.17p1 oder höher, die die fehlerhafte Pfadauflösungslogik korrigiert. Große Distributionen (Ubuntu, Debian, SUSE) haben Patches veröffentlicht.

  sudo apt-get update && sudo apt-get install --only-upgrade sudo

• Sudo-Zugriff einschränken: Beschränken Sie die Nutzung von --chroot in der /etc/sudoers-Datei auf vertrauenswürdige Benutzer, indem Sie visudo für sichere Bearbeitung verwenden.
• CHROOT-Regeln entfernen: Löschen Sie per-Befehl-CHROOT-Direktiven in Sudoers, sofern nicht erforderlich.
• Überwachung und Protokollierung: Aktivieren Sie die Protokollierung von Sudo-Befehlen und verwenden Sie Tools wie AppArmor, SELinux oder Oligo, um verdächtiges Verhalten oder anfällige Versionen zu erkennen.
• Keine Workarounds: Es gibt keine effektiven Workarounds; ein Patch ist unerlässlich.

Aktueller Stand

Patches sind verfügbar, und große Distributionen haben Updates veröffentlicht. Nicht aktualisierte Systeme bleiben gefährdet, insbesondere da öffentliche Proof-of-Concept-Exploits kursieren. Debian weist darauf hin, dass Systeme mit ausschließlich lokalen Berechtigungen in /etc/sudoers weniger anfällig für Fernausnutzung sind, aber lokaler Zugriff bleibt riskant.

Empfehlung

Aktualisieren Sie Sudo sofort auf Version 1.9.17p1 oder höher und überprüfen Sie die /etc/sudoers-Konfigurationen. Überwachen Sie Systeme auf Exploit-Versuche und wenden Sie Sicherheits-Best-Practices an, um Risiken zu minimieren. Prüfen Sie distributionsspezifische Hinweise (z. B. Ubuntu, Debian, SUSE) für Patch-Details.