От «user» до «root» за секунду: критический баг в sudo угрожает миллионам устройств

leer en español

CISA KEV Sudo Linux Cisco Fortra Adminer Libraesva уязвимости
От «user» до «root» за секунду: критический баг в sudo угрожает миллионам устройств
CISA KEV Sudo Linux Cisco Fortra Adminer Libraesva уязвимости

Хакеры активно используют CVE-2025-32463 для взлома организаций. Ваша может быть следующей.

image

Федеральное агентство по кибербезопасности и инфраструктурной безопасности США (CISA) включило в каталог активно эксплуатируемых уязвимостей (KEV) критический дефект в популярной утилите Sudo, применяемой в Linux и Unix-подобных системах. Ошибка отслеживается как CVE-2025-32463 и оценивается в 9,3 балла по CVSS. Она затрагивает версии Sudo до 1.9.17p1 и позволяет локальному пользователю через опцию -R (--chroot) выполнять произвольные команды от имени суперпользователя, даже если их выполнение не предусмотрено конфигурацией sudoers. О проблеме впервые сообщил исследователь компании Stratascale Рич Мирч в конце июня 2025 года.

Хотя пока не раскрыто, каким образом именно уязвимость применяется на практике и кто стоит за атаками, CISA фиксирует случаи эксплуатации в реальной среде. В связи с этим ведомство предписало федеральным гражданским агентствам устранить угрозу до 20 октября 2025 года, чтобы снизить риск компрометации сетей.

Кроме ошибки в Sudo, в список KEV добавлены ещё четыре уязвимости. Первая из них — CVE-2021-21311 в инструменте Adminer, связанная с серверным SSRF. Она позволяет удалённым злоумышленникам получать конфиденциальные данные и ранее уже использовалась группировкой UNC2903 против AWS-инфраструктуры, о чём в 2022 году сообщала Google Mandiant. Вторая — CVE-2025-20352 в Cisco IOS и IOS XE. Дыра в подсистеме SNMP может привести как к отказу в обслуживании, так и к выполнению произвольного кода; факт её эксплуатации Cisco подтвердила на прошлой неделе.

Третья проблема — CVE-2025-10035 в Fortra GoAnywhere MFT. Она связана с небезопасной десериализацией и может позволить подставить собственный объект с последующим внедрением команд, если злоумышленник использует поддельный ответ лицензирования. Об активности вокруг неё стало известно благодаря watchTowr Labs. Последняя уязвимость — CVE-2025-59689 в Libraesva Email Security Gateway. Ошибка позволяет внедрять команды через сжатые вложения в письмах; эксплуатирование подтвердил сам производитель.

CISA подчёркивает, что наличие таких записей в KEV указывает на высокую вероятность атак против организаций, не установивших обновления. Вендорам и администраторам рекомендуется безотлагательно закрыть перечисленные дыры, поскольку они уже представляют практическую угрозу.