作者:林泰宇,李美雯 / 北區學術資訊安全維運中心資安工程師, 臺灣大學計算機及資訊網路中心程式設計師
前言
在Unix-like系統中,有一重要的操作命令即Sudo,Sudo(Superuser do)是一個廣泛應用於系統的權限管理工具,允許授權使用者以超級使用者(root)或另一使用者身份執行特定命令,提供客製化的權限控制,增強系統安全性,減少直接使用root帳戶帶來的風險。使用者透過sudo [command]指令進行操作前,需輸入使用者密碼,驗證通過後以root權限執行命令。
其中配置檔/etc/sudoers定義權限規則,可指定使用者、主機、命令等條件,此外所有對sudo的指令操作將存放在日誌在/var/log/auth.log中,便於追蹤使用情況。然而,網路研究人員Rich Mirch [1]於2025年4月1日發現Sudo工具存在兩個嚴重的本機權限提升漏洞,分別為CVE-2025-32462與CVE-2025-32463,攻擊者可以繞過權限配置取得完整的root權限對主機或其他設備進行操作。本文將詳細說明該漏洞發生的原因以及相關防護措施。
圖 1.CVE 通報頁面 (資料來源:NIST Nation Vulnerability Database [2])
圖 2.CVE 通報頁面 (資料來源:NIST Nation Vulnerability Database [3])
漏洞發生原因及攻擊手法
Sudo指令允許授權使用者以root的身分執行操作指令,其-h以及-chroot存在本機權限提升漏洞,攻擊者可以繞過權限配置取得完整的root權限對主機或其他設備進行操作。以下分別對CVE-2025-32462及CVE-2025-32463的漏洞說明:
CVE-2025-32462屬於授權不正確的漏洞,允許攻擊者以普通使用者的權限取得目標主機的root權限,攻擊者可以使用sudo –h hostname加上特定的目錄權限提升攻擊,以下說明漏洞產生原因:
- sudo host 設計缺陷:
- -h指令原本用與-l 指令用來顯示使用者在特定主機的權限,卻因sudo程式在設計時,未在程式邏輯中對-h的使用範圍進行限制。使得攻擊者可以使用-h 指定主機,並且透過修改sudoers權限配置檔進行繞過規則的權限提升操作。
- Sudoers配置檔設置問題:
- 普通使用者可以在sudoers配置檔中配置權限規則,攻擊者可以新增對目標主機的目錄、群組新增權限。
- 設置過後透過sudo -h hostname指令進行操作,會因為host設計缺陷使攻擊者可以繞過原先的sudo權限規則設置,取得root權限。
- 缺乏驗證:
- -h輸入選項進行驗證,使用者可指定任意hostname。
- sudo錯誤信任使用者提供的hostname並根據sudoers規則配置權限執行命令。
CVE-2025-32462具體觸發流程如下:
- 攻擊者透過任意方法入侵並取得任意電腦的控制權限,透過使用該使用者的主機更改sudoers的權限配置。透過確認主機與新增規則如: username hostname = (root) /bin/cat取得權限。
- 運用該新設置的權限使用sudo –h進行訪問主機以及其他目標路徑,如:sudo –h <hostname> cat /etc/shadow將可以繞過只能存取原先的規則設置訪問其他root權限的目錄達到權限提升攻擊。
CVE-2025-32463 [4]屬於納入不受信任的控制範圍功能漏洞,允許攻擊者只要取得普通使用者的權限並且可以執行chroot的操作即可取得目標主機的root權限。攻擊者可以建立臨時的根目錄環境執行惡意程式,對目標主機進行權限提升攻擊取得root權限,以下說明漏洞產生原因:
- 不安全的路徑解析與chroot處理:
- 使用者可以任意使用-chroot建立新的根目錄。
- 系統在解析路徑時誤認新的根目錄(/newroot)為真實根目錄(/)。
- 系統在未驗證sudo權限配置檔前(/etc/sudoers)就直接進入新的根目錄。
- 缺乏驗證:
- sudo未充分驗證chroot建立新的根目錄(/newroot)的安全性。
- 使用sudo(root)身分進入新的目錄(/newroot)中建立任意檔案或共享函數。
- NSS 查找的設計缺陷:
- 為系統程式,被用以允許動態載入linux系統(/)中的共享函數處理。
- 可以透過偽造的 NSS 配置來控制共享函數庫中的函數,繞過sudoer的權限配置。
- /etc/nsswitch.conf配置利用:
- 新的根目錄(/newroot)會查找 /etc/nsswitch.conf的配置,使用者可以在新的根目錄中偽造/etc/nsswitch.conf設定檔案引導系統至惡意的配置檔執行程式以sudo(root)身分執行並控制系統。
CVE-2025-32463體觸發流程如下:
- 攻擊者透過任意方法入侵並取得任意電腦的控制權限,透過使用該使用者的權限對目標電腦進行—chroot的操作。
- 攻擊者會先在/tmp錄中建立臨時的目錄作為chroot的根目錄(newroot)錄中建立子目錄結構(newroot/etc)以及newroot/libnss_)。
- 接著攻擊者會藉由在新更目錄中偽造 NSS 配置檔,透過偽造的 NSS 配置來控制共享函數庫的函數,繞過sudoers的權限配置,攻擊者在這時會編寫惡意程式讓NSS讀取,當有指令進行請求操作時,就會解析惡意程式。
- 當攻擊者使用sudo指令進行操作時,即可觸發漏洞繞過sudoers配置,取得該主機的root權限。
漏洞驗證
本文對CVE-2025-32462與CVE-2025-32463進行漏洞驗證,分析攻擊者利用漏洞進行攻擊的可行性及風險。針對CVE-2025-32462之驗證,本文將使用Ubuntu Desktop系統進行驗證,將以一般使用者配置權限進行驗證。針對CVE-2025-32463漏洞進行驗證,本文將參考Github所公布的研究以及相關漏洞驗證腳本,使用git clone下載進行操作,並使用Kali Linux系統進行漏洞驗證,其驗證步驟如以下所示:
對CVE-2025-32462於Ubuntu系統進行漏洞驗證,主要需要在/etc/sudoers目錄下修改sudo規則後利用漏洞,本文將省略設置過程,以結果呈現漏洞可利用之情形:
- 在目前的使用者以及主機狀態中使用需要sudo指令訪問的敏感目錄,這時會得到錯誤訊息說明,該使用者無權限對主機進行操作。
圖 3.系統防護訊息(資料來源:自行整理)
- 得到系統訊息後,就可以嘗試在修改過後的sudoers規則中進行漏洞利用命令,直接使用-h命令對目標主機進行敏感路徑的訪問,結果是可以成功取得資訊,也證實漏洞是可以被利用的。
- sudo -h <hostname> cat /etc/shadow
圖 4.漏洞利用與觸發結果(資料來源:自行整理)
由於目前在github上所公布的poc皆是使用漏洞發現者所公布的poc腳本因此本文對CVE-2025-32463於kali系統進行漏洞驗證,將使用pr03rbs作者 [5]所打包好的測試腳本進行驗證:
- 使用git clone指令下載至kali linux中,此外在使用腳本之前可以先對測試系統的環境進行確認是否含有漏洞:
- 有漏洞:Sudo: woot: No such file or directory
- 已經修補:Sudo: you are not permitted to use the -R option with woot
圖 5.漏洞利用前版本測試(資料來源:自行整理)
- 接著對下載下來的腳本進行執行,首先先將目錄切換到該腳本的位置,使用腳本進行自動化的運作,執行過後即可觸發漏洞取得root權限。
圖 6.漏洞成功觸發(資料來源:自行整理)
影響範圍
針對sudo在Unix-like系統中存在sudo本機提權漏洞(CVE-2025-32462、CVE-2025-32463),此漏洞可以取得root權限。受影響的版本包括以下所述。其中Sudo 1.8.0 ~ 1.9.17距今已有12年歷史,此外影響範圍包含現今所有主流發行版本如: Ubuntu、Debian、RedHat、MacOS接受影響。受影響的版本包括:
- CVE-2025-32462:
- 1.9.0 <= sudo <= 1.9.17
- 1.8.8 <= sudo <= 1.8.32
- CVE-2025-32463:
- 1.9.14 <= sudo <= 1.9.17
- sudo版本<= 1.8.32不受影響(無chroot功能)
由於該漏洞屬於系統層級的漏洞,UNIX-like系統被企業及個人使用者廣泛使用,若使用者未對該漏洞進行修復,將可能導致以下問題:
- 橫向移動:攻擊者可通過可透過漏洞取得最高權限收集其他主機的憑證攻擊內網。
- 攻擊持久化:在系統中植入後門確保重啟後仍可與C&C伺服器通訊,並建立持久化木馬後門與對系統設置task及schedule腳本。
緩解及補救措施
由於該漏洞是屬於重大的權限提升漏洞,且出現漏洞的Sudo版本已有12年歷史之久,因此若主機在先前已有被駭客入侵跡象,強烈建議做好更新及防護措施以免對主並造成更重大的危害。Sudo官方作者已將更新版本發送至各主要受影響之系統給使用者更新 [6], 針對CVE-2025-32462、CVE-2025-32463漏洞修補如以下說明:
- 在管理的主機上更新Sudo套件至 1.9.17p1以上版本
- 使用 sudo -V 指令對Sudo進行版本審查
針對CVE-2025-32462漏洞可以參考以下修補方式:
- 審查主機sudo的規則設置
- 使用sudo visudo進入Sudo配置檔中,修改/etc/sudoers配置檔
- 避免使用hostname-based設置使用者權限
- 使用基於群組(group)賦予使用者權限
- 進行指令限制
- 停止使用互動性與逃脫性指令
- 不使用通用運算符號授權
- 明確定義可執行指令內容
- 加入防止指令跳脫的指令
針對CVE-2025-32463可以參考以下修補方式:
- 最小權限原則
- 審查sudoers配置檔案中包含--chroot的規則功能
- 將不必要的權限配置刪除
- 若無法跟新sudo可以暫時停用--chroot功能
- 不使用就不要授權,若要授權限定單一安全命令
- 不用通用符號進行配置
結論
CVE-2025-32462 和 CVE-2025-32463 是影響 Sudo 工具的兩個嚴重本機權限提升漏洞,這些漏洞對Unix-like系統構成重大安全風險。CVE-2025-32462(CVSS 分數 2.8)利用主機選項(--host)中的缺陷,允許攻擊者繞過基於主機的 sudoers 規則,從而在未授權的主機上執行命令。此漏洞特別影響是在使用共享sudoers配置(如LDAP)的環境中,風險更高,因其可被濫用於繞過主機限制。CVE-2025-32463(CVSS 分數 9.3)則更為嚴重,涉及 --chroot (-R) 選項的錯誤處理,允許本地使用者通過在使用者控制的目錄中創建惡意 /etc/nsswitch.conf 配置檔,載入任意共享庫以獲得root權限。此漏洞影響Sudo 1.9.14 至 1.9.17版本,且由於其影響預設配置,即使無需特定的sudoers規則也可能被利用,危險性極高。
這兩個漏洞均由Stratascale網路研究單位的Rich Mirch發現,隨後在主要 Linux發行版(如Ubuntu、Debian、Red Hat 和 SUSE)中迅速發布修補程序。Sudo 1.9.17p1版本已修復這兩個漏洞,並棄用危險的chroot功能,預計未來版本將完全移除該選項。鑑於Sudo是大多數Linux系統的預設工具,這些漏洞影響範圍廣泛,包括桌面、伺服器甚至物聯網設備,凸顯了及時更新和sudoers安全配置的重要性。為減輕風險,建議使用者立即升級至 Sudo 1.9.17p1或更高版本,檢查sudoers配置檔以避免不必要的主機或chroot配置。
這些漏洞再次提醒我們,即使是成熟的工具也可能隱藏長期未發現的缺陷,凸顯持續監控和快速修補在當今威脅環境中的關鍵性。
參考資料
[1] R. Mirch, “Vulnerability Advisory: Sudo chroot Elevation of Privilege,” 30 06 2025. [線上]. Available: https://www.stratascale.com/vulnerability-alert-CVE-2025-32463-sudo-chroot.
[2] N. V. Database, “CVE-2025-32462 Detail,” 30 06 2025. [線上]. Available: https://nvd.nist.gov/vuln/detail/CVE-2025-32462.
[3] N. V. Database, “CVE-2025-32463 Detail,” 30 06 2025. [線上]. Available: https://nvd.nist.gov/vuln/detail/CVE-2025-32463.
[4] sudo, “Local Privilege Escalation via chroot option,” 30 06 2025. [線上]. Available: https://www.sudo.ws/security/advisories/chroot_bug/.
[5] pr0v3rbs, “CVE-2025-32463_chwoot,” 01 07 2025. [線上]. Available: https://github.com/pr0v3rbs/CVE-2025-32463_chwoot .
[6] u. security, “CVE-2025-32463,” 30 06 2025. [線上]. Available: https://ubuntu.com/security/CVE-2025-32463.