كشف باحثون في مجال الأمن السيبراني عن وجود ثغرتين أمنيتين في أداة Sudo، وهي أداة سطر أوامر شهيرة في أنظمة Linux وUnix، يمكن أن تمكّن المهاجمين المحليين من تصعيد امتيازاتهم والحصول على صلاحيات root في الأجهزة المعرضة للخطر.
تفاصيل الثغرتين:
-
CVE-2025-32462 (درجة CVSS: 2.8): تؤثر على الإصدارات السابقة لـ Sudo 1.9.17p1. عند استخدام ملف sudoers يحتوي على اسم مضيف (host) لا يتطابق مع الجهاز الحالي ولا يعادل ALL، يمكن للمستخدمين تنفيذ أوامر على أجهزة غير مقصودة.
-
CVE-2025-32463 (درجة CVSS: 9.3): تؤثر أيضًا على الإصدارات السابقة لـ Sudo 1.9.17p1. تمكّن المستخدمين المحليين من الحصول على صلاحيات root باستخدام ملف “nsswitch.conf” من مجلد يتم التحكم فيه من قبل المستخدم عند استخدام خيار
--chroot.
ما هي أداة Sudo ولماذا هي مهمة؟
Sudo هي أداة تُستخدم للسماح للمستخدمين ذوي الامتيازات المنخفضة بتشغيل أوامر بصلاحيات مستخدم آخر، مثل المستخدم الجذر (root).
يتم التحكم في إعدادات الأداة من خلال الملف /etc/sudoers الذي يحدد من يمكنه تشغيل أي أوامر، وباسم من، وعلى أي أجهزة.
تفاصيل الثغرة الأولى (CVE-2025-32462)
اكتشف الباحث ريتش ميرتش (Rich Mirch) أن هذه الثغرة موجودة منذ أكثر من 12 عامًا، وتحديدًا منذ إضافة ميزة خيار -h في عام 2013، والذي يسمح بعرض صلاحيات sudo لمضيف مختلف.
لكن الثغرة مكّنت من تنفيذ أوامر مخصصة لجهاز بعيد على الجهاز المحلي أيضًا، وهو ما يُعد خرقًا واضحًا لسياسة الأمان.
ملاحظة: هذا النوع من الإعدادات يظهر في الأنظمة التي تشترك في ملف sudoers موحّد عبر عدة أجهزة أو عند استخدام LDAP/SSSD لتوزيع الصلاحيات.
تفاصيل الثغرة الثانية (CVE-2025-32463)
تُعد هذه الثغرة حرجة، وتستغل خيار -R الخاص بميزة chroot في Sudo لتشغيل أوامر عشوائية بصلاحيات root حتى لو لم يكن للمستخدم صلاحيات sudo أصلًا.
تعتمد الثغرة على خداع Sudo لتحميل مكتبة ديناميكية ضارة عن طريق إعداد ملف /etc/nsswitch.conf داخل مجلد chroot الذي يختاره المستخدم، مما يسمح بتنفيذ أكواد ضارة بصلاحيات مرتفعة.
قال ميرتش:
“الثغرة لا تتطلب أي قواعد مسبقة في ملف sudoers. أي مستخدم محلي غير مميز يمكنه تصعيد صلاحياته إذا كانت النسخة المثبتة من Sudo معرضة للخطر.”
الإجراءات التصحيحية والإصلاحات المتوفرة
أعلنت شركة Sudo أنها ستقوم بحذف خيار chroot نهائيًا في الإصدارات القادمة نظرًا لكونه عرضة للأخطاء.
وقد تم إصلاح الثغرتين في الإصدار Sudo 1.9.17p1، الصادر في يونيو 2025 بعد عملية إفصاح مسؤولة تمت في أبريل.
التوزيعات المتأثرة:
-
CVE-2025-32462: AlmaLinux 8/9، Alpine Linux، Amazon Linux، Debian، Gentoo، Oracle Linux، Red Hat، SUSE، Ubuntu
-
CVE-2025-32463: Alpine Linux، Amazon Linux، Debian، Gentoo، Red Hat، SUSE، Ubuntu
ينصح المستخدمون والمسؤولون بتحديث أنظمتهم فورًا إلى آخر إصدار من Sudo لضمان الأمان
