Nieuws
image

VS waarschuwt voor actief misbruik van kritieke Sudo-kwetsbaarheid

dinsdag 30 september 2025, 11:29 door Redactie, 7 reacties

Het Amerikaanse cyberagentschap CISA waarschuwt voor actief misbruik van een kritieke kwetsbaarheid in Sudo. Via het beveiligingslek (CVE-2025-32463) kunnen lokale gebruikers rootrechten krijgen. In juni verschenen beveiligingsupdates voor het probleem en werden ook technische details van het probleem openbaar gemaakt.

Sudo maakt het mogelijk om programma's uit te voeren met de rechten van een andere gebruiker. Het wordt vaak gebruikt om het "least privilege model" te implementeren door beheerderstaken te delegeren die verhoogde rechten vereisen, zonder dat daarbij het rootwachtwoord moet worden gedeeld. Daarnaast creëert het ook een auditspoor in de systeemlogs.

Onderzoekers ontdekten dat het mogelijk is om Sudo een bepaald bestand (nsswitch.conf) uit een door een gebruiker gecontroleerde directory te laten gebruiken. "Het probleem ontstaat door een ongeprivilegieerde gebruiker toe te staan om chroot() aan te roepen op een schrijfbaar, onbetrouwbaar path onder hun controle. Sudo roept chroot() verschillende keren aan, ongeacht of de gebruiker een betreffende Sudo rule heeft geconfigureerd", aldus de onderzoekers.

Het nsswitch.conf bestand bevat instructies voor het systeem hoe het informatie over gebruikers, groepen en hosts moet ophalen. Er zijn verschillende sources op te geven en de volgorde voor het doorzoeken, totdat er een match is. "Wat misschien niet meteen duidelijk is bij het lezen van het nsswitch.conf bestand is dat de naam van de source ook wordt gebruikt als het path voor een gedeeld object (library)", laten de onderzoekers verder weten. "Vanwege dit gedrag kan elke lokale gebruiker Sudo misleiden om een willekeurig gedeeld object te laden dat tot het uitvoeren van willekeurige code als root leidt."

De MITRE Corporation beoordeelt de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 met een 9.3. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst van actief aangevallen kwetsbaarheden bij. Gisteren werd Sudo-kwetsbaarheid CVE-2025-32463 aan deze lijst toegevoegd. Verdere details over de waargenomen aanvallen zijn niet gegeven. Wel moeten Amerikaanse overheidsinstanties die van Sudo gebruikmaken de beveiligingsupdate voor 20 oktober hebben geïnstalleerd. Drie jaar geleden waarschuwde het CISA voor actief misbruik van een andere Sudo-kwetsbaarheid (CVE-2021-3156).

Reacties (7)
Reageer met quote
30-09-2025, 13:44 door Anoniem
De tijdlijn:

04/01/2025: Vulnerability report sent to Todd Miller (Sudo maintainer).
04/06/2025: Maintainer proposed a patch for CVE-2025-32462.
04/08/2025: Verified the CVE-2025-32462 patch and provided additional feedback.
05/06/2025: Maintainer responded, still working on a solution to the chroot issue.
06/09/2025: Maintainer proposed a patch for CVE-2025-32463.
06/10/2025: Verified the CVE-2025-32463 patch; proposed disclosure timeline.
06/23/2025: Patch sent to operating system distros list. Sudo advisory links confirmed.

Op 1 april gerapporteerd.
Op 8 april de host optie gefixt
Op 10 juni het chroot probleem opgelost
Op 23 juni naar de distro's uitgerold
Reageer met quote
30-09-2025, 14:40 door Anoniem
Ik vind het bijzonder hoe Sudo zich als een soort standaard heeft weten te manifesteren, op verschillende (single user) desktop systemen, waaronder grootgrutter Ubuntu en consorten. Welbeschouwd is Sudo een privilege escalation, maar dan gecontroleerd. Op een single user systeem, is dat volstrekt overbodig, aangezien de enige gebruiker, hopelijk ook het root-wachtwoord weet. Nu kun je standaard op elke Ubuntu "sudo su -" invoeren op een terminal en root worden. Dus ook je buurman, als jij even thee aan het halen bent. Met de juiste configuratie, kun je sudo alsnog veilig krijgen op een single user systeem, maar standaard is het zelden zo ingesteld.
Reageer met quote
30-09-2025, 16:30 door Anoniem
Door Anoniem: Ik vind het bijzonder hoe Sudo zich als een soort standaard heeft weten te manifesteren, op verschillende (single user) desktop systemen, waaronder grootgrutter Ubuntu en consorten.

Ubuntu en consorten zijn geen single user systeem. Wij hebben thuis een desktop staan met 4 user accounts, waarvan twee met beperkte sudo-rechten. Het is uiterst flexibel en geschikt voor gezinnen waarin niet iedereen een tech-nerd is.
Reageer met quote
30-09-2025, 17:25 door Anoniem
Volgens Redhat was deze niet kritiek: https://access.redhat.com/security/cve/cve-2025-32463
Als je 3 maanden later deze fix nog niet hebt uitgerold verdien je om gehackt te worden!
Reageer met quote
30-09-2025, 18:53 door Anoniem
Door Anoniem: Ik vind het bijzonder hoe Sudo zich als een soort standaard heeft weten te manifesteren, op verschillende (single user) desktop systemen, waaronder grootgrutter Ubuntu en consorten. Welbeschouwd is Sudo een privilege escalation, maar dan gecontroleerd. Op een single user systeem, is dat volstrekt overbodig, aangezien de enige gebruiker, hopelijk ook het root-wachtwoord weet. Nu kun je standaard op elke Ubuntu "sudo su -" invoeren op een terminal en root worden. Dus ook je buurman, als jij even thee aan het halen bent. Met de juiste configuratie, kun je sudo alsnog veilig krijgen op een single user systeem, maar standaard is het zelden zo ingesteld.

Standaard op mijn Linux Mint systeem krijg ik bij "sudo su-" een challenge om mijn wachtwoord in te typen.
Ik bben benieuwd hoe die n00b-buurman daar 1,2,3 doorheen komt voordat ik met de thee terug kom.
Reageer met quote
01-10-2025, 05:46 door Anoniem
Dus in Windows termen een DLL hijack op SYSTEM niveau. Die zijn helaas inderdaad vrij simpel uit te voeren. Een memory corruption exploit maken van scratch vereist wat meer kennis maar ook hier zal AI de drempel verlagen. Ooit waren we 1337 ;-)
Reageer met quote
01-10-2025, 10:39 door Anoniem
Door Anoniem: Volgens Redhat was deze niet kritiek: https://access.redhat.com/security/cve/cve-2025-32463
Als je 3 maanden later deze fix nog niet hebt uitgerold verdien je om gehackt te worden!
Je moet een lokale gebruiker zijn en ook nog het wachtwoord weten als je Sudo aanroept.
Dus zo snel word je niet gehackt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure