CISAが警告:Linux Sudoの重大な脆弱性が攻撃に悪用される
ハッカーがLinuxオペレーティングシステム上でroot権限でのコマンド実行を可能にするsudoパッケージの重大な脆弱性(CVE-2025-32463)を積極的に悪用しています。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、この脆弱性を「既知の悪用された脆弱性(KEV)カタログ」に追加し、「信頼できない制御領域からの機能の組み込み」と説明しています。
脆弱性の詳細と影響
この脆弱性は、ローカルの攻撃者がsudoersリスト(昇格された権限でコマンドを実行することを許可されたユーザーまたはグループを指定する設定ファイル)に含まれていなくても、-R (–chroot)オプションを使用することで、権限を昇格させることができるというものです。
Sudo(「superuser do」の略)は、システム管理者が特定の非特権ユーザーに権限を委譲し、実行されたコマンドとその引数をログに記録することを可能にするツールです。
6月30日に公式に開示されたCVE-2025-32463は、sudoのバージョン1.9.14から1.9.17に影響を与え、深刻度9.3(10点満点中)の評価を受けています。セキュリティアドバイザリは、「攻撃者はsudoersファイルに記載されていなくても、sudoの-R (–chroot)オプションを利用して、任意のコマンドをrootとして実行できる」と説明しています。
CISAの勧告と対策
CISAは連邦政府機関に対し、10月20日までに公式の緩和策を適用するか、sudoの使用を中止するよう指示しました。世界中の組織は、パッチ適用とその他のセキュリティ緩和策の優先順位付けのために、CISAの既知の悪用された脆弱性カタログを参照するよう助言されています。
発見者とPoCの公開
CVE-2025-32463を発見したサイバーセキュリティサービス企業Stratascaleの研究者であるRich Mirch氏は、この問題がデフォルトのsudo設定に影響を与え、ユーザーに対する事前定義されたルールなしに悪用できると指摘しました。
7月4日には、Mirch氏がCVE-2025-32463の概念実証(PoC)エクスプロイトを公開しました。この脆弱性は、バージョン1.9.14がリリースされた2023年6月から存在していました。しかし、7月1日以降、技術的な解説から派生したと思われる追加のエクスプロイトが公に流通しています。
実世界での悪用と今後の対応
CISAは、sudoのCVE-2025-32463脆弱性が実世界での攻撃に悪用されていると警告していますが、同庁はそれがどのような種類のインシデントで利用されたかについては具体的に言及していません。