CISA cảnh báo về lỗ hổng Linux Sudo nghiêm trọng bị khai thác trong các cuộc tấn công

Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã thêm lỗ hổng này vào danh mục Lỗ hổng khai thác đã biết (KEV). Tổ chức này đã gia hạn cho các cơ quan liên bang đến ngày 20/10 để áp dụng các biện pháp giảm thiểu chính thức hoặc ngừng sử dụng Sudo.

Kẻ tấn công cục bộ có thể khai thác lỗ hổng này để leo thang đặc quyền bằng cách sử dụng tùy chọn -R (--chroot), ngay cả khi chúng không có trong danh sách sudoers, một tệp cấu hình chỉ định người dùng hoặc nhóm nào được phép thực thi lệnh với quyền cao hơn.

Được công bố chính thức vào ngày 30/6, CVE-2025-32463 ảnh hưởng đến các phiên bản sudo từ 1[.]9[.]14 đến 1[.]9[.]17 với điểm CVSS lên đến 9.3. Rich Mirch, nhà nghiên cứu bảo mật tại công ty an ninh mạng Stratascale (Mỹ) giải thích: “Kẻ tấn công có thể lợi dụng tùy chọn -R (--chroot) của Sudo để chạy các lệnh tùy ý với tư cách root, ngay cả khi chúng không được liệt kê trong tệp sudoers”.

Mirch là người đã phát hiện ra CVE-2025-32463, lưu ý rằng sự cố này ảnh hưởng đến cấu hình Sudo mặc định và có thể bị khai thác mà không cần bất kỳ rule nào được xác định trước cho người dùng. Trước đó vào ngày 4/7, ông đã phát hành bằng chứng khái niệm (PoC) đối với lỗ hổng CVE-2025-32463, tồn tại từ tháng 6/2023 với phiên bản 1[.]9[.]14.

CISA đưa ra cảnh báo lỗ hổng CVE-2025-32463 trong Sudo đang bị khai thác trong các cuộc tấn công thực tế, mặc dù cơ quan này không nêu rõ loại sự cố mà lỗ hổng đã bị khai thác.

Các tổ chức trên toàn thế giới được khuyến nghị nên sử dụng danh mục KEV của CISA làm tài liệu tham khảo để ưu tiên vá lỗi và triển khai các biện pháp giảm thiểu bảo mật khác.