CISAがSudoの深刻な脆弱性について警告

サイバーセキュリティ・インフラセキュリティ庁（CISA）は、世界中のシステム管理者およびITチームに対し、緊急警告を発令しました。研究者らは、多くのLinuxおよびUnixシステムで広く使用されているsudoユーティリティの深刻な脆弱性が積極的に悪用されていることを確認しました。この脆弱性（CVE-2025-32463）により、攻撃者は影響を受けるマシンに対する完全な管理者権限を取得する可能性があります。

脆弱性の詳細

SudoはUnix系システムにおける中核的なツールであり、承認されたユーザーが昇格された権限でコマンドを実行することを可能にします。この脆弱性は、sudoが-R（または--chroot）オプションを処理する方法に存在します。この機能は、chroot環境と呼ばれる隔離された環境でコマンドを実行するために設計されていますが、脆弱性によりローカル攻撃者が通常の権限チェックをバイパスできます。既に限定的なsudoアクセスを持つ攻撃者がこの欠陥を利用することで、システムのsudoersリストにないコマンドでもrootユーザーとして実行できる可能性があります。

積極的な悪用とCISAの評価

この脆弱性の積極的な悪用は、いくつかの標的型攻撃で確認されていますが、大規模なキャンペーンとの関連を示す公的な証拠はまだありません。CISAは、完全なシステム侵害の危険性から、この問題を高優先度と評価しています。同庁は、悪用された場合、データ窃盗、サービス中断、追加マルウェアのインストールにつながる可能性があると警告しています。

CISAによる対応ガイダンス

CISAは、防御者が迅速に対応できるよう、以下の段階的なガイダンスを提供しています。

• 脆弱なシステムの特定: chrootオプションが有効になっているsudoのバージョンを特定するために、構成管理ツールまたは手動検査を使用してください。
• ベンダーパッチの適用: 公式のLinuxディストリビューションおよびオペレーティングシステムベンダーの勧告を確認し、更新またはパッチが利用可能になり次第インストールしてください。
• クラウドサービスに対するBOD 22-01ガイダンスの遵守: クラウド環境でsudoが使用されている場合、Binding Operational Directive 22-01に概説されているリスク管理および監視手順を適用してください。
• 一時的な回避策の検討: パッチがまだ利用できない場合は、-R/--chrootオプションを無効にするか、完全な修正が展開されるまでsudoアクセスを制限してください。
• ログとシステムの監視: 不審なsudoの使用パターンを監視し、不正なrootコマンドがないか監査してください。

重要な期限と推奨事項

CISAは、パッチを広範囲に展開する前に、非本番環境で更新をテストすることを推奨しています。適切なテストは、パッチが重要なサービスを中断しないことを保証するのに役立ちます。システム所有者は、sudoers構成を見直し、ユーザーから不要なsudo権限を削除する必要もあります。

この脆弱性は、2025年9月29日にCISAの既知の悪用済み脆弱性カタログに追加されました。組織は、2025年10月20日までに緩和策を適用するか、承認されたリスク受容計画を文書化する必要があります。この期限までにこの欠陥に対処しないと、ネットワークが深刻な攻撃にさらされる可能性があります。

読者は、ベンダーのセキュリティページをブックマークし、最新のパッチ通知のためにメーリングリストを購読することが奨励されます。プロアクティブなパッチ管理は、急速に悪用されるソフトウェアの欠陥に対する最も効果的な防御策の一つです。

---

元記事: https://gbhackers.com/cisa-issues-alert-on-active-exploitation-of-linux-and-unix-sudo-flaw/