ハッカーは、Linuxオペレーティングシステム上でroot権限でコマンドを実行できる重大な脆弱性(CVE-2025-32463)をsudoパッケージで積極的に悪用しています。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、この脆弱性を既知の悪用脆弱性カタログ(KEV)に追加し、「信頼できない制御領域からの機能の取り込み」と説明しています。
CISAは、連邦機関に対し、公式の緩和策を適用するか、sudoの使用を中止する期限を10月20日までとしています。
ローカルの攻撃者は、この脆弱性を利用して、sudoersリスト(昇格した権限でコマンドを実行できるユーザーやグループを指定する設定ファイル)に含まれていなくても、-R(–chroot)オプションを使って権限を昇格させることができます。
Sudo(「superuser do」)は、システム管理者が特定の非特権ユーザーに権限を委譲し、実行されたコマンドとその引数を記録できるようにするツールです。
この脆弱性(CVE-2025-32463)は6月30日に公式に公開され、sudoバージョン1.9.14から1.9.17が影響を受け、重大度スコアは10点中9.3と評価されています。
「攻撃者はsudoの-R(–chroot)オプションを利用して、sudoersファイルに記載されていなくても任意のコマンドをrootとして実行できます」とセキュリティアドバイザリで説明されています。
サイバーセキュリティサービス企業Stratascaleの研究者でCVE-2025-32463を発見したRich Mirch氏は、この問題がデフォルトのsudo設定に影響し、ユーザーに事前定義されたルールがなくても悪用可能であることを指摘しています。
7月4日、Mirch氏はCVE-2025-32463の概念実証用エクスプロイトを公開しました。この脆弱性はバージョン1.9.14がリリースされた2023年6月から存在しています。
しかし、7月1日以降、技術的な解説記事をもとにしたとみられる追加のエクスプロイトが公に出回っています。
CISAは、sudoのCVE-2025-32463脆弱性が実際の攻撃で悪用されていると警告していますが、どのようなインシデントで利用されたかは明らかにしていません。
世界中の組織に対し、CISAの既知の悪用脆弱性カタログを参照し、パッチ適用の優先順位付けや他のセキュリティ対策の実施を推奨しています。
