Một nhóm nghiên cứu bảo mật đã công bố báo cáo kỹ thuật chi tiết về CVE-2025-32463, một lỗ hổng leo quyền cục bộ (Local Privilege Escalation – LPE) nghiêm trọng trong tiện ích sudo được sử dụng rộng rãi trên Linux.

Lỗ hổng này ảnh hưởng đến các phiên bản sudo từ 1.9.14 đến 1.9.17. Kẻ tấn công cục bộ với quyền truy cập sudo tiêu chuẩn có thể giành quyền root hoàn toàn bằng cách lạm dụng tính năng --chroot của công cụ. Đây là một lỗ hổng leo quyền sudo tiềm ẩn nguy cơ cao đối với các hệ thống Linux.

Phân tích kỹ thuật CVE-2025-32463

Cơ chế khai thác cốt lõi

Trọng tâm của vấn đề là lỗi logic trong tùy chọn --chroot (hoặc -R). Thông thường, chroot sẽ giới hạn một tiến trình vào một thư mục được chỉ định. Tuy nhiên, sudo áp dụng sự giới hạn này trước khi kiểm tra quyền người dùng và trước khi tải các module Name Service Switch (NSS). Lỗi logic này là nguyên nhân chính gây ra lỗ hổng CVE-2025-32463.

Bằng cách đặt một tệp /etc/nsswitch.conf độc hại bên trong một thư mục chroot do người dùng kiểm soát, kẻ tấn công có thể buộc sudo tải một thư viện chia sẻ độc hại (.so) với quyền root thông qua cơ chế tải module động của NSS.

Chi tiết lỗi và luồng khai thác

Lỗi này bắt nguồn từ trình tự hoạt động trong mã nguồn của sudo. Sau khi gọi chroot() trên thư mục mục tiêu, sudo vẫn chạy với quyền root. Sau đó, nó gọi các hàm như getpwuid() để xác minh thông tin đăng nhập của người dùng.

Trong quá trình này, NSS đọc tệp /etc/nsswitch.conf đã được chroot và, dựa trên nội dung của nó, thực hiện dlopen() trên các thư viện như libnss_malicious.so.2. Vì các module này được tải trong ngữ cảnh root, một thư viện được tạo đặc biệt bởi kẻ tấn công có thể thực thi mã tùy ý ở cấp độ root trong hàm khởi tạo của nó.

Phương pháp này chỉ yêu cầu quyền ghi tệp cục bộ và một thư mục có thể ghi, chẳng hạn như /tmp. Điều này làm cho cuộc tấn công trở nên đơn giản và có khả năng gây thiệt hại nghiêm trọng.

Các nhà nghiên cứu đã trình bày chi tiết về cách khai thác lỗ hổng CVE-2025-32463 này. Mã PoC (Proof-of-Concept) và phân tích cấp độ assembly chi tiết đã được công bố, minh họa từng giai đoạn từ việc theo dõi các cuộc gọi hệ thống bằng strace đến việc tạo shell cuối cùng.

Thông tin chi tiết về nghiên cứu này có thể được tìm thấy tại nguồn đáng tin cậy: CVE-2025-32463: Local Privilege Escalation Vulnerability in sudo.

Hệ thống bị ảnh hưởng và Tác động

Các phiên bản và môi trường dễ bị tổn thương

• Ubuntu 24.04+
• Red Hat Enterprise Linux (RHEL) 8/9
• SUSE Linux Enterprise Server
• Amazon Linux
• macOS Ventura/Sonoma khi sử dụng các phiên bản sudo dễ bị tổn thương.

Lỗ hổng này đặc biệt nguy hiểm trong các môi trường được container hóa (ví dụ: Docker, Podman), nơi việc khai thác chroot có thể dẫn đến việc xâm nhập vào hệ thống host. Một khi quyền root bị chiếm, kẻ tấn công có thể thực hiện mọi hành động trên hệ thống, từ cài đặt mã độc đến đánh cắp dữ liệu nhạy cảm.

Việc phát hiện và khai thác một lỗ hổng CVE nghiêm trọng như CVE-2025-32463 cho thấy tầm quan trọng của việc duy trì các bản cập nhật bảo mật liên tục. Mối đe dọa từ các cuộc tấn công leo quyền cục bộ là rất lớn, đặc biệt khi chúng có thể được thực hiện một cách đơn giản.

Biện pháp phòng ngừa và Khắc phục

Để bảo vệ hệ thống khỏi cuộc tấn công này, quản trị viên hệ thống cần thực hiện các biện pháp sau:

Cập nhật bản vá bảo mật

Biện pháp phòng ngừa quan trọng nhất là cập nhật tiện ích sudo lên phiên bản mới nhất, cụ thể là sudo 1.9.18 hoặc cao hơn. Phiên bản này đã khắc phục lỗi logic trong tính năng --chroot. Thực hiện cập nhật là bước thiết yếu để khắc phục triệt để CVE-2025-32463 và bảo vệ hệ thống.

sudo apt update
sudo apt install sudo

sudo dnf update sudo

(Lệnh cụ thể có thể khác nhau tùy theo bản phân phối Linux.)

Vô hiệu hóa tùy chọn –chroot

Nếu tính năng --chroot (hoặc -R) không được yêu cầu trong môi trường của bạn, hãy vô hiệu hóa nó trong tệp cấu hình /etc/sudoers. Điều này có thể được thực hiện bằng cách thêm dòng sau:

Defaults !schroot_runchroot

Bạn nên chỉnh sửa tệp /etc/sudoers bằng lệnh visudo để tránh lỗi cú pháp có thể khóa quyền truy cập sudo.

Giám sát hệ thống

Thiết lập giám sát chặt chẽ các cuộc gọi dlopen(), các thay đổi tệp trong thư mục /etc (đặc biệt là /etc/nsswitch.conf) và hành vi của các tiến trình trong các thư mục có thể ghi như /tmp. Việc này giúp phát hiện các hoạt động bất thường có thể chỉ ra một cuộc tấn công đang diễn ra hoặc đã thành công.

• Giám sát dlopen(): Sử dụng các công cụ như auditd hoặc eBPF để theo dõi các thư viện được tải động, đặc biệt là bởi các tiến trình chạy với quyền root.
• Giám sát tính toàn vẹn tệp (File Integrity Monitoring – FIM): Triển khai giải pháp FIM để phát hiện bất kỳ thay đổi trái phép nào đối với các tệp cấu hình quan trọng như /etc/nsswitch.conf.
• Giám sát hành vi tiến trình: Theo dõi các tiến trình có hành vi đáng ngờ, đặc biệt là những tiến trình tạo hoặc sửa đổi các tệp nhị phân trong các thư mục tạm thời, vốn có thể là dấu hiệu của việc khai thác CVE-2025-32463.

Lỗ hổng như CVE-2025-32463 nhấn mạnh rằng các tính năng bảo vệ tưởng chừng vô hại có thể vô tình tạo ra các lỗ hổng bảo mật nghiêm trọng. Các quản trị viên hệ thống được khuyến nghị áp dụng các bản cập nhật và biện pháp giảm thiểu ngay lập tức để ngăn chặn truy cập root trái phép. Việc xem xét mã liên tục và tiết lộ có trách nhiệm vẫn đóng vai trò quan trọng trong việc bảo mật các tiện ích hệ thống thiết yếu, góp phần nâng cao an ninh mạng tổng thể.