米国サイバーセキュリティ庁(CISA)は月曜日、最近修正されたSudoのローカル権限昇格脆弱性が実際に悪用されていると警告しました。
LinuxおよびmacOS向けのコマンドラインユーティリティであるSudoは、特定のユーザーがスーパーユーザーとしてログインすることなく、rootまたは管理者権限でコマンドを実行できるようにします。Sudoの概念を実装したWindows版も存在しますが、これはUnixプロジェクトのフォークや移植ではありません。
SudoがLinuxやmacOSで一時的に昇格したアクセス権を提供するため、sudoersファイルで設定されたユーザーのみがSudo経由でコマンドを実行できます。
CISAが悪用されたと指摘したセキュリティ欠陥(CVE-2025-32463、CVSSスコア9.3)は、sudoersファイルに設定されていないユーザーでもSudoを使ってコマンドを実行できるようにします。
このバグの悪用が成功するのは、/etc/nsswitch.confをサポートするシステムのみです。攻撃者がユーザー指定のルートディレクトリの下に/etc/nsswitch.confファイルを作成し、chroot機能を使ってSudoにそれを読み込ませる必要があります。
このバグは2023年にSudoバージョン1.9.14で導入され、6月にリリースされたSudoバージョン1.9.17p1で修正されました。このバージョンではchroot機能が非推奨となり、ユーザーが選択したルートディレクトリでコマンドを実行するオプションが削除されました。
CISAは現在、このCVEが攻撃で悪用されていると警告しており、連邦機関に対して、拘束力のある運用指令(BOD)22-01に基づき、今後3週間以内に自組織の環境で対処するよう促しています。
CISAが既知の悪用済み脆弱性(KEV)カタログに追加するまで、CVE-2025-32463が実際に悪用されたという報告はありませんでした。しかし、概念実証(PoC)エクスプロイトは7月から公開されています。
広告。スクロールして続きをお読みください。
月曜日、サイバーセキュリティ庁はさらに、Cisco IOSおよびIOS XE(CVE-2025-20352)、Fortra GoAnywhere MFT(CVE-2025-10035)、およびLibraesva Email Security Gateway(CVE-2025-59689)の3つの最近公開された脆弱性もKEVに追加しました。これら3つはいずれも先週悪用されたとされています。
さらにCISAは、Adminerのサーバーサイドリクエストフォージェリ(SSRF)脆弱性であるCVE-2021-21311もKEVに追加しました。この脆弱性は2022年に初めて悪用が報告されました。
BOD 22-01は連邦機関のみに適用されますが、すべての組織に対してCISAのKEVリストを確認し、記載されている脆弱性に対する推奨緩和策を適用することが推奨されています。
関連記事: AkiraランサムウェアによるSonicWall脆弱性の悪用が継続
関連記事: 10年前のPixie Dust Wi-Fiハックが今も多くのデバイスに影響
翻訳元: https://www.securityweek.com/organizations-warned-of-exploited-sudo-vulnerability/
