Millionen von Linux- und Unix-Systemen sind ernsthaften Sicherheitsrisiken ausgesetzt durch die Entstehung von zwei Schwachstellen in Sudo, ein grundlegendes Tool, das es Benutzern ermöglicht, Befehle mit erhöhten Berechtigungen kontrolliert auszuführen. Diese Schwachstellen, identifiziert als CVE-2025-32462 y CVE-2025-32463, wurden kürzlich von Cybersicherheitsexperten analysiert und gemeldet. Sie warnten vor ihren Auswirkungen und der Dringlichkeit der Anwendung von Patches.
Die Entdeckung hat Systemadministratoren und Unternehmen alarmiert, da Sudo standardmäßig in den meisten GNU/Linux-Distributionen und ähnlichen Systemen wie macOS vorhanden ist. Beide Fehler ermöglichen eine Rechteausweitung von Konten ohne Administratorberechtigungen, wodurch die Integrität der betroffenen Computer gefährdet wird.
Was ist Sudo und warum ist es so wichtig?
Sudo ist ein wichtiges Dienstprogramm in Unix-Umgebungen, Wird verwendet, um administrative Aufgaben auszuführen, ohne sich als Root anmelden zu müssenDieses Tool bietet detaillierte Kontrolle darüber, welche Benutzer bestimmte Befehle ausführen können, trägt dazu bei, das Prinzip der geringsten Privilegien einzuhalten und alle Aktionen zu Prüfzwecken zu protokollieren.
Die Sudo-Konfiguration wird über die Datei verwaltet / etc / sudoers, sodass Sie spezifische Regeln basierend auf Benutzer, Befehl oder Host definieren können, eine gängige Vorgehensweise zur Stärkung der Sicherheit in großen Infrastrukturen.
Technische Details zu Sudo-Sicherheitslücken
CVE-2025-32462: Host-Optionsfehler
Diese Sicherheitslücke war über ein Jahrzehnt lang im Code von Sudo verborgen., die stabile Versionen von 1.9.0 bis 1.9.17 und Legacy-Versionen von 1.8.8 bis 1.8.32 betrifft. Der Ursprung liegt in der Option -h o --host, die zunächst sollte auf die Auflistung von Berechtigungen für andere Computer beschränkt sein Aufgrund eines Steuerungsfehlers kann es jedoch verwendet werden, um als Root auf dem System selbst Befehle auszuführen oder Dateien zu bearbeiten.
Der Angriffsvektor nutzt bestimmte Konfigurationen, bei denen Sudo-Regeln auf bestimmte Hosts oder Hostnamenmuster beschränkt sind.. Auf diese Weise kann ein lokaler Benutzer das System austricksen, indem er vorgibt, Befehle auf einem anderen autorisierten Host auszuführen und so Root-Zugriff zu erhalten. ohne dass ein komplexer Exploit erforderlich ist.
Die Ausnutzung dieses Fehlers ist besonders in Unternehmensumgebungen besorgniserregend, in denen häufig Host- oder Host_Alias-Direktiven zur Segmentierung des Zugriffs verwendet werden. Es ist kein zusätzlicher Exploit-Code erforderlich. Rufen Sie einfach Sudo mit der Option auf -h und ein Host, der Beschränkungen umgehen darf.
CVE-2025-32463: Missbrauch der Chroot-Funktion
Bei CVE-2025-32463, der Schweregrad ist größer: Ein in Version 1.9.14 von 2023 eingeführter Fehler in der Chroot-Funktion ermöglicht es jedem lokalen Benutzer, beliebigen Code aus Pfaden unter seiner Kontrolle auszuführen und so Administratorrechte zu erlangen.
Der Angriff basiert auf der Manipulation des Name Service Switch (NSS)-Systems. Durch Ausführen von Sudo mit der Option -R (chroot) und legen Sie ein vom Angreifer kontrolliertes Verzeichnis als Root fest. Sudo lädt Konfigurationen und Bibliotheken aus dieser manipulierten Umgebung. Ein Angreifer kann das Laden einer schädlichen gemeinsam genutzten Bibliothek erzwingen (zum Beispiel durch /etc/nsswitch.conf (eine gefälschte und eine im Chroot-Stammverzeichnis vorbereitete Bibliothek), um eine Root-Shell auf dem System zu erhalten. Die Existenz dieses Fehlers wurde in mehreren Distributionen bestätigt, daher ist es ratsam, sich über die neuesten Updates auf dem Laufenden zu halten.
Die Einfachheit dieser Technik wurde in realen Szenarien überprüft, indem zum Erstellen der Bibliothek lediglich ein C-Compiler verwendet und der entsprechende Befehl mit Sudo gestartet wurde. Keine technischen Kenntnisse oder komplizierten Konfigurationen erforderlich.
Diese beiden Schwachstellen wurden in aktuellen Versionen von Ubuntu, Fedora und macOS Sequoia nachgewiesen, obwohl auch andere Distributionen betroffen sein könnten. Für einen besseren Schutz ist es unerlässlich, die von den Entwicklern empfohlenen Updates anzuwenden.
Was Administratoren und Benutzer tun sollten
Die einzige wirksame Maßnahme ist die Aktualisierung von Sudo auf Version 1.9.17p1 oder neuer, da die Entwickler in dieser Version beide Probleme behoben haben: Die Host-Option wurde auf die legitime Verwendung beschränkt und die Chroot-Funktion erhielt Änderungen an ihrer Pfad- und Bibliotheksverwaltung.Große Distributionen wie Ubuntu, Debian, SUSE und Red Hat haben die entsprechenden Patches bereits veröffentlicht und ihre Repositories verfügen über sichere Versionen.
Sicherheitsexperten empfehlen außerdem Überprüfen Sie die Dateien /etc/sudoers y /etc/sudoers.d um mögliche Verwendungen der Host- oder Host_Alias-Direktiven zu lokalisieren und zu überprüfen, dass es keine Regeln gibt, die eine Ausnutzung des Fehlers ermöglichen.
Es gibt keine wirksamen Alternativlösungen. Wenn eine sofortige Aktualisierung nicht möglich ist, empfiehlt es sich, die Zugriffs- und Verwaltungsbeschränkungen genau zu überwachen, auch wenn das Risiko einer Gefährdung weiterhin hoch ist. Weitere Informationen zu den Maßnahmen und Empfehlungen finden Sie in diesem Leitfaden unter Sicherheitsupdates in Linux.
Dieser Vorfall unterstreicht die Bedeutung regelmäßiger Sicherheitsüberprüfungen und der Aktualisierung wichtiger Komponenten wie Sudo. Dass in einem so weit verbreiteten Programm seit über einem Jahrzehnt versteckte Schwachstellen bestehen, ist eine deutliche Erinnerung an die Gefahren, die entstehen, wenn man sich blind auf Infrastrukturtools ohne ständige Überprüfung verlässt.
Die Entdeckung dieser Schwachstellen in Sudo unterstreicht die Bedeutung proaktiver Patch- und Audit-Strategien. Administratoren und Organisationen sollten ihre Systeme überprüfen, verfügbare Patches installieren und wachsam bleiben, um zukünftige Probleme mit kritischen Betriebssystemkomponenten zu vermeiden.
