Sudo сломали. Теперь root — у любого

Миллионы систем под управлением Linux по всему миру оказались под угрозой из-за новой опасной уязвимости в утилите sudo, которая позволяет злоумышленникам получить права суперпользователя и полностью контролировать сервер. Серьёзность ситуации заключается в том, что эта проблема затрагивает не только отдельные рабочие станции, но и критически важные сервисы, включая серверы на Ubuntu и Fedora.

Sudo — это инструмент, который позволяет выполнять команды от имени администратора или суперпользователя на системах Linux. Именно в этой утилите специалисты команды Stratascale Cyber Research Unit обнаружили сразу две критические ошибки. По их словам, уязвимость настолько проста в эксплуатации, что любой локальный пользователь может за считанные минуты получить полный доступ к системе.

Проблема появилась в версии sudo 1.9.14, которая вышла в июне 2023 года. Исправление было выпущено только 30 июня 2025 года в версии 1.9.17p1. Однако за это время уязвимость распространилась на миллионы серверов, и многие из них до сих пор не обновлены.

Специалисты подчёркивают, что для эксплуатации уязвимости не требуется предварительных настроек или специальных прав доступа. Достаточно воспользоваться ошибками в редко используемой опции chroot утилиты sudo. Эта опция позволяет изолировать процессы внутри отдельного каталога, создавая видимость, что остальная часть файловой системы недоступна. Однако из-за обнаруженных проблем злоумышленники могут «выйти» за пределы этой изоляции и получить полный контроль над системой.

Чтобы реализовать атаку, достаточно создать собственный файл /etc/nsswitch.conf внутри пользовательского каталога, указанного как корневая директория для chroot. Через этот файл система определяет, как разрешать имена пользователей, группы, хосты и другие ресурсы. Злоумышленник может подменить содержимое и подгрузить вредоносную библиотеку, которая выполнится с привилегиями root.

Создатели sudo подтвердили наличие проблемы и в версии 1.9.17p1 официально отключили использование опции chroot. Тем не менее, многие системы всё ещё остаются под угрозой. Примером служит случай, о котором сообщило немецкое издание heise.de. Журналисты обнаружили, что даже свежие виртуальные машины Ubuntu на крупных немецких облачных хостингах поставляются с уязвимой версией утилиты, несмотря на то что исправление уже доступно .

Специалисты Stratascale выпустили демонстрационный скрипт, который показывает, как злоумышленник может скомпилировать вредоносную библиотеку, создать временный каталог, разместить там необходимые файлы и, воспользовавшись уязвимостью, получить полный доступ к системе.

В связи с этим системным администраторам настоятельно рекомендуется немедленно обновить пакеты sudo до последней версии. Других способов защиты, кроме обновления, не существует. Также рекомендуется провести проверку конфигурации, чтобы убедиться, что опция chroot нигде не используется. Для этого необходимо изучить все правила в файлах /etc/sudoers и /etc/sudoers.d, а если они хранятся в LDAP — использовать специальные инструменты для их выгрузки.

Учитывая масштабы распространения Linux и ключевую роль серверов Ubuntu и Fedora в инфраструктуре, последствия этой уязвимости могут быть крайне серьёзными.