Kritikus sebezhetőségek a Sudo parancssori eszközben – jogosultságkiterjesztés veszélye fenyegeti a Linux rendszereket


ma 10:39

A Linux és Unix-szerű operációs rendszerek egyik alapeszköze, a Sudo, nemrégiben két súlyos biztonsági rést tartalmazó frissítésen esett át. A problémákat a Stratascale kutatója, Rich Mirch fedezte fel, és a CVE-2025-32462, valamint a CVE-2025-32463 azonosítószámokat kapták. Ezek közül különösen az utóbbi jelent kritikus szintű fenyegetést, mivel lehetővé teszi a helyi, nem privilegizált felhasználók számára a root szintű jogosultság megszerzését.

Mi az a Sudo?

A Sudo (Superuser Do) egy parancssori eszköz, amely lehetővé teszi, hogy egy alacsonyabb jogosultsági szinten lévő felhasználó ideiglenesen rendszergazdai (root) jogosultságot kapjon bizonyos parancsok futtatásához. Az eszköz célja a legkisebb jogosultság elvének (principle of least privilege) betartása, vagyis az, hogy a felhasználók csak a munkájukhoz szükséges lehető legkisebb mértékű hozzáférést kapják.

A jogosultságok szabályozását az /etc/sudoers fájl végzi, amely meghatározza:

  • ki milyen parancsokat futtathat,
  • milyen felhasználó nevében,
  • mely gépeken,
  • és kér-e jelszót az adott művelethez.

1.     CVE-2025-32462 – Parancsfuttatás más gépre szánt jogosultságokkal

Ez a sebezhetőség a -h (host) opció működését érinti, mely eredetileg lehetővé teszi a sudoers fájlhoz tartozó jogosultságok lekérdezését egy másik gépre vonatkozóan. A hiba következtében azonban a Sudo nemcsak listázza, hanem végre is hajtja ezeket a parancsokat a helyi rendszeren, akkor is, ha az adott jogosultságok csak másik gépen lennének engedélyezettek.

Érintett rendszerek és környezetek:

  • Centralizált sudoers fájl több gépre szinkronizálva (pl. Puppet, Ansible).
  • LDAP/SSSD alapú jogosultságkezelés, amely hálózaton keresztül terjeszti a sudoers adatokat.

Következmények:

  • Jogosulatlan parancsfuttatás más gépre szánt konfiguráció alapján.
  • Sudo auditlog torzulása.
  • Potenciális szabálymegkerülés különösen nagy vállalati környezetekben.

2.     CVE-2025-32463 – Kritikus chroot jogosultságkiterjesztés

A -R vagy –chroot opció célja, hogy a Sudo a megadott könyvtárat használja gyökérként (chroot). Ez hasznos lehet rendszer-helyreállítás esetén, azonban súlyos hibalehetőségeket is hordoz.

A sebezhetőség lényege:

  • A chroot környezetben a rendszer betölti az conf fájlt.
  • Ha ezt a fájlt a támadó kontrollálja, rosszindulatú megosztott könyvtár hívható meg (pl. saját .so könyvtár betöltése).
  • Ezáltal a támadó root jogosultsággal futtathat kódot, még akkor is, ha nincsenek sudoers bejegyzések.

Kritikus jellemzők:

  • Nem kell konfigurációs szabály hozzá.
  • Az alapértelmezett sudo telepítés is sebezhető.
  • Fizikai vagy helyi hozzáférés mellett teljes root jogot adhat.

Initramfs root shell – Egy aláíratlan biztonsági rés új megvilágításban

Bár nem friss sebezhetőség, az initramfs root shell lehetősége új figyelmet kapott az Insinuator kutatói által közzétett jelentés révén. Ez a probléma valójában a Linux bootfolyamatának tervezési hiányossága, amely minden olyan rendszert érinthet, amely lehetővé teszi a debug shell elérését sikertelen jelszóbemenet esetén.

3.     CVE-2016-4484 – Initramfs root shell hozzáférés

A legtöbb modern disztribúció (Ubuntu, Debian, Fedora, RHEL) támogatja, hogy több rossz jelszókísérlet után belépjen a debug shell-be. Ez a környezet azonban:

  • root jogosultságokat biztosít,
  • aláíratlan initramfs képet használ (mivel rendszer-helyreállításra tervezték),
  • támadók számára ideális „evil maid” támadási felületet kínál.

Támadási forgatókönyv:

  1. A támadó hozzáfér a géphez (pl. hotel, irodai asztal).
  2. Boot közben hibás jelszót ad meg ismételten → belép a root shell-be.
  3. Saját USB eszközről:
    • Mountolja a fájlrendszert,
    • Módosítja az initramfs fájlt,
    • Hátsó kaput vagy malware-t telepít.
  4. A következő újraindításkor a manipulált initramfs rootként töltődik be.

Érintett rendszerek:

  • Ubuntu
  • Debian
  • Fedora
  • Red Hat Enterprise Linux
  • SUSE Linux Enterprise Server

Megelőzési lehetőségek

Sudo sebezhetőségek ellen:

  • Frissítsük a rendszert legalább a 9.17p1 verzióra.
  • Auditáljuk a sudoers konfigurációkat (különösen Host_Alias, Runas_Alias bejegyzéseket).
  • Kerüljük a –chroot opciót nem megbízható környezetben.

Initramfs root shell ellen:

  • Kernel paraméterek módosítása:
    • Ubuntu: panic=0
    • Red Hat: shell=0 rd.emergency=halt
  • Bootloader jelszó beállítása minden indításhoz.
  • A /boot partíció LUKS-al való titkosítása.
  • TPM használata az initramfs integritásának mérésére.
  • Unified Kernel Images (UKI) bevezetése. (kernel + initramfs egyetlen aláírt binárisban)

Összegzés

A 2025-ös év fontos tanulsága, hogy a biztonságot nemcsak az aktív szolgáltatások, hanem a háttérrendszerek és bootfolyamatok terén is folyamatosan újra kell értékelni. A Sudo sebezhetőségei és az initramfs root shell problémája rámutatnak: a rendszer legmélyebb rétegei is képesek kompromittálni a teljes védelmi mechanizmust – még akkor is, ha a felszínen minden rendben van. A biztonság nem statikus, hanem egy folyamatosan fejlődő és karbantartandó folyamat, amely holisztikus szemléletet igényel a kernel, a felhasználói tér, és a bootfolyamat minden elemére kiterjedően.

 (thehackernews.com)

(gbhackers.com)

Címkék

CVE Linux Shell Sérülékenység adathalászat sudo adathalászat otthoni kiberbiztonság szervezeti kiberbiztonság sérülékenység

Kapcsolódó tartalmak: