Хакери активно използват критична уязвимост в sudo (CVE-2025-32463), която позволява изпълнение на команди с root права в Linux операционни системи.

Американската CISA добави пропуска в каталога си Known Exploited Vulnerabilities (KEV) и определи крайна дата – 20 октомври 2025 г., до която федералните агенции трябва да приложат официалните поправки или да прекратят използването на уязвимите версии на sudo.

Какво представлява уязвимостта

Sudo („superuser do“) е ключов инструмент в Linux, позволяващ на администраторите да делегират ограничени привилегии на потребители. Уязвимостта засяга версии 1.9.14 до 1.9.17 и има критична оценка 9.3 от 10.

Чрез -R (–chroot) опцията, локален атакуващ може да изпълнява произволни команди като root, дори без да е добавен в конфигурационния файл sudoers. Това означава, че атаката е възможна върху системи в напълно стандартна конфигурация.

Откриване и експлоатиране

• Уязвимостта е открита от изследователя Рич Мирч (Stratascale) и официално разкрита на 30 юни 2025 г.

• Мирч публикува proof-of-concept на 4 юли, но вече преди това, от 1 юли, в мрежата са се появили допълнителни експлойти, вероятно базирани на техническия анализ.

• CISA потвърждава, че уязвимостта вече се използва в реални атаки, но не уточнява в какви конкретни инциденти.

Препоръки към организациите

• Незабавно обновяване на sudo до версия, съдържаща корекция.

• Използване на каталога KEV на CISA за приоритизиране на пачването.

• При невъзможност за бързо обновяване – прилагане на алтернативни смекчаващи мерки или изключване на засегнатите системи.

Уязвимостта CVE-2025-32463 е особено опасна, защото може да бъде експлоатирана без специални права и засяга дефолтната конфигурация на sudo. Това я прави висок приоритет за администратори и организации, използващи Linux системи.