Опубликована рабочий proof-of-concept (PoC, доказательство концепции) эксплойта для критической уязвимости в широко используемой утилите sudo. Данная уязвимость позволяет любому локальному пользователю выйти из chroot-окружения и выполнять команды с правами root. Организациям, использующим sudo, рекомендуется немедленно провести аудит и обновить свои установки.
Детали уязвимости
Уязвимость кроется в обработке путей к каталогам в sudo при вызове с измененным корневым каталогом (chroot). Создав специально сформированный путь, злоумышленник может вырваться из chroot-окружения. После этого он получает доступ ко всей файловой системе и может запустить оболочку с правами root. Критически важно, что для эксплуатации уязвимости достаточно обычных привилегий пользователя, что делает тривиальной задачу повышения привилегий для инсайдеров или скомпрометированных учетных записей.
Исследователи безопасности опубликовали краткий скрипт PoC, демонстрирующий способы эксплуатации ошибки. Эксплойт вызывает sudo -chroot с именем вложенного каталога, содержащего escape-последовательности. После выполнения злоумышленник получает root-оболочку. Скрипт создает временную структуру каталогов и использует модифицированный путь для обхода chroot-ограничений. При запуске любым пользователем в уязвимых средах этот скрипт преобразует контекст атакующего в root, игнорируя предполагаемые ограничения chroot.
| 1 2 3 4 5 6 7 8 9 10 11 | #!/bin/bash # Simple PoC for sudo chroot escape mkdir -p /tmp/exploit/a cd /tmp/exploit # Trigger chroot escape sudo --chroot=a ../../../../../../bin/bash -p |
Доказательство концепции наглядно показывает, как минимальные манипуляции с входными данными могут обойти критические механизмы изоляции. Успешная эксплуатация дает полные привилегии root, ставя под угрозу конфиденциальность, целостность и доступность системы. Злоумышленники могут устанавливать постоянные бэкдоры, изменять системные двоичные файлы или извлекать конфиденциальные данные.
Для предотвращения данной угрозы требуется обновление sudo до исправленных версий, а также мониторинг конфигураций sudo для отключения ненужных chroot-операций. Уязвимость отслеживается как CVE-2021-3156, широко известная под названием "Baron Samedit", которая была адаптирована для побега из chroot-окружения. Системы, работающие под управлением старых версий sudo, находятся в группе риска до момента установки исправлений. Обновление до sudo версии 1.9.5p1 или более поздней закрывает этот вектор атаки.
Публикация общедоступного PoC для уязвимости sudo chroot подчеркивает важность своевременного управления исправлениями. Системным администраторам следует проверить версию sudo и применить обновления поставщиков без задержек. Отключение функций chroot там, где они не нужны, может дополнительно снизить воздействие подобных атак. Непрерывный аудит политик sudo и привилегий пользователей необходим для поддержания надежной позиции безопасности.
Особую озабоченность вызывает тот факт, что уязвимость затрагивает множество дистрибутивов Linux, включая Debian, Ubuntu, Fedora и CentOS. В зависимости от версии sudo оценка CVSS 3.1 составляет 7.8 баллов, что классифицирует уязвимость как высокоопасную. Учитывая широкое распространение sudo в корпоративных средах и облачной инфраструктуре, потенциальный масштаб воздействия может быть значительным.
Эксперты по кибербезопасности отмечают, что подобные уязвимости в базовых системных утилитах представляют особую опасность, поскольку они могут быть использованы для эскалации привилегий после первоначального проникновения в систему. Рекомендуется не только обновление ПО, но и пересмотр политик использования sudo, минимизация привилегий пользователей и внедрение дополнительных механизмов контроля целостности систем.
Временные меры защиты включают ограничение использования chroot через sudo и мониторинг подозрительной активности, связанной с вызовом sudo с параметрами chroot. Организации должны включить данную уязвимость в программу регулярного обновления систем и учитывать ее при оценке рисков безопасности своей инфраструктуры.
Ссылки
- https://github.com/kh4sh3i/CVE-2025-32463?tab=readme-ov-file
- https://www.cve.org/CVERecord?id=CVE-2021-3156
