Хакери експлоатират уязвимост в най-опасната програма за Linux

Хакери започнаха активно да експлоатират уязвимост в считаната за най-опасна програма за Linux. В отговор американските власти, отговорни за киберсигурността на критичната инфраструктура, наредиха на правителствените агенции да затворят уязвимостта в Sudo и още четири софтуерни продукта до 20 октомври.

Центърът за сигурност на киберпространството и инфраструктурата на САЩ (CISA) добави критична уязвимост в програмата Sudo към списъка KEV (активно експлоатирани уязвимости). Това означава, че правителствените агенции трябва да предприемат незабавни действия за справяне с проблема.

Списъкът беше актуализиран в понеделник, за да включи още четири уязвимости. Най-опасната от тях е CVE-2025-32463 (CVSS оценка 9.3), която засяга всички версии на Sudo преди 1.9.17p1, както на Linux дистрибуции, така и на Unix-подобни системи.

Възможност за хакерите

„Sudo съдържа уязвимост, която позволява извикване на функционалност на трети страни, без да се проверява обхватът на нейния контрол“, поясни CISA в публикация. „Тази уязвимост позволява на локален хакер да използва опцията sudo -R (chroot), за да изпълнява произволни команди като root, дори ако този потребител не е в списъка със sudoers“.

Sudo е помощна програма за команден ред в Linux и Unix-подобни системи. Тя позволява на непривилегировани потребители да изпълняват команди като администратори или други привилегировани потребители.

На практика това означава ограничено изпълнение на действия, които обикновено изискват администраторски права. Файлът sudoers представлява списък, който определя правата на потребителите и командите, които те могат да се изпълняват чрез sudo.

Публикацията на CISA не предоставя подробности за това как точно се използва уязвимостта CVE-2025-32463. Информация за уязвимостта стана публична през юли тази година от публикация на  изследователя на сигурността Рич Мирч от Stratascale.

В доклада си той отбелязва, че експлоатирането на уязвимостта е потвърдено на системи, работещи с Ubuntu 24.04.1 (Sudo 1.9.15p5, Sudo 1.9.16p2) и Fedora 41 Server (Sudo 1.9.15p5).

В допълнение, Hacker News изброява Linux дистрибуциите, чиито разработчици и поддържаща общност са издали бюлетини за сигурност относно тази уязвимост: освен Ubuntu, списъкът  включва Alpine Linux, Amazon Linux, Debian, Gentoo и Red Hat.

Не за първи път експертите откриват грешки в sudo. Когато тази широко разпространена, критична помощна програма се превърне в слабо звено, последствията могат да бъдат доста драматични. Следователно, отстраняването на уязвимости в sudo трябва да бъде приоритет.

Още четири уязвимости

CISA добави още четири уязвимости към списъка със спешно необходими поправки. Те не са свързани със sudo.

Най-старата, CVE-2021-21311, е уязвимост за подправяне на заявки към сървър в системата за управление на бази данни Adminer, която позволява на атакуващите да измъкнат чувствителни данни. Експлойтът за нея е открит още през 2022 г.: според Google Mandiant, атаките са свързани с клъстер от заплахи, известен като UNC2903.

Втората уязвимост е CVE-2025-20352 – грешка при препълване на буфера в Simple Network Management Protocol (SNMP) в Cisco IOS и IOS XE (оценка 7.7), която може да причини срив на системата или дори да изпълни злонамерен код. Тази уязвимост не е свързана с комбинацията от CVE-2025-20362 и CVE-2025-20333.

Третата уязвимост, добавена към списъкът KEV, е CVE-2025-10035 – грешка във Fortra GoAnywhere MFT, която води до десериализация на ненадеждни данни. Потенциален атакуващ може да използва тази уязвимост, за да извърши инжектиране на команди. Експлойтът беше разкрит миналата седмица в публикация на watchTowr Labs.

Последната уязвимост е CVE-2025-29689 и се намира в Libraesva Email Security Gateways. Тя позволява на атакуващия да извърши инжектиране на команди чрез компресиран прикачен файл към имейл.

CISA нареди на всички федерални агенции на САЩ да предприемат незабавни действия за отстраняване на тези уязвимости – срокът да направят това е до 20 октомври 2025 г.