Deux défauts, un non détecté pendant plus d’une décennie, permettent un accès racine involontaire sur les systèmes Ubuntu et Debian, ce qui provoque des correctifs urgents dans les environnements d’entreprise.
Deux nouvelles vulnérabilités ont été trouvées dans Sudo, un outil de ligne de commande privilégié installé sur les systèmes Linux, qui peuvent permettre une escalade de privilège et une exécution de commande involontaire sur les systèmes Ubuntu et Debian affectés.
Selon une recherche Stratascale, l’outil de ligne de commandement a deux vulnérabilités locales d’escalade des privilèges, affectant les fonctionnalités sudo «hôte» et sudo «chroot». L’une des vulnérabilités est restée inaperçue depuis plus de 12 ans.
«Le contrôle des autorisations, en maintenant spécifiquement un contrôle positif de l’escalade des privilèges, est essentiel aux opérations de sécurité», a déclaré Trey Ford, directeur de la sécurité de l’information chez BugCrowd. « Lorsque Sudo a besoin de réparties, vous posez votre sandwich et obtenez cette priorité dès que possible. »
Malgré un impact similaire, les vulnérabilités ont reçu des cotes de gravité différentes en fonction de la facilité d’exploitation. Ford pense que la variance de notation est logique car il existe un «scénario de configuration très étroit», permettant un exploit faible.
L’option de chroot remet à tous les privilèges racinaires
L’une des vulnérabilités, suivie sous forme de CVE-2025-32463, permet à tout utilisateur – même ceux non répertoriés en Sudo – d’obtenir des privilèges racine en abusant du mécanisme de chroot. La fonction de chroot dans Sudo a été introduite dans la version 1.9.14 (publiée en août 2023) pour aider les administrateurs à limiter l’environnement d’exécution d’une commande en modifiant le répertoire racine de la commande en un chemin spécifié.
En plaçant une version fabriquée du fichier de configuration du système «/etc/nswitch.conf» dans un répertoire de chroot-writable, sudo peut être trompé pour y charger une bibliothèque partagée avec du code malveillant.
La vulnérabilité, avec une note CVSS critique de 9,3 sur 10, affecte les versions sudo 1.9.14 à 1.9.17, et les chercheurs de Stratascale ont déclaré avoir vérifié l’exploitation sur Ubuntu 24.04.1 et le serveur Fedora 41.
« CVE-2025-32463 implique un vecteur d’escalade local qui ne nécessite pas que l’utilisateur soit dans le dossier sudoers », a déclaré Marc England, consultant en sécurité chez Black Duck. «Ma seule question serait, en ce qui concerne les éléments tels que l’infrastructure, combien d’entre eux utilisent Ubuntu 24.04?
L’Angleterre pense que de nombreux administrateurs pourraient être clairs car il pense que la plupart utiliseraient la version 1.9.9 Sudo, non vulnérable, car c’est le dernier package pris en charge sur Ubuntu 22.04.
Sudo fait confiance au mauvais hôte
CVE-2025-32462, qui est resté inaperçu pendant plus de 12 ans, nécessite une configuration spécifique mais commune de restriction des règles sudo à certains noms d’hôte ou modèles de nom d’hôte.
Selon les chercheurs, le fichier sudoers utilise une syntaxe flexible pour s’adapter à toute taille d’organisation, permettant à une seule configuration de fonctionner sur les systèmes Linux et Unix en limitant des règles spécifiques aux utilisateurs, aux groupes et aux hôtes.
L’Angleterre est d’accord avec le score de gravité inférieur de la vulnérabilité, CVSS 2,8 sur 10. « Une exécution réussie obligerait quelqu’un à faire une erreur de configuration et à déployer un dossier Sudoers avec un hôte incorrect pour cette vulnérabilité au travail », a-t-il déclaré. «L’erreur doit se produire ailleurs pour remplir ces conditions.»
Les versions SUDO stables 1.9.0 à 1.9.17 sont affectées, ainsi que les versions héritées 1.8.8-1.8.32. Le défaut a été introduit avec Sudo Version 1.8.8, sorti en septembre 2013 et est resté dans toutes les mises à niveau ultérieures.
Les deux défauts ont été fixés dans la version Sudo 1.9.17p1. Les conseillers sudo abordant les problèmes crédités Rich Mirch de Stratascale Cyber Research Unit (CRU) pour les découvertes et ont exhorté les administrateurs à corriger rapidement leurs installations.
«Les organisations doivent traiter l’assainissement du problème comme une priorité malgré le score de gravité de la vulnérabilité apparemment faible et étudier leurs configurations pour l’utilisation des options et des versions vulnérables, en double en raison de la présence de l’autre vulnérabilité qui n’a pas de telles exigences basées sur la configuration pour l’exploitation», a déclaré Ben Hutchison, consultant principal associé chez Black Duck.
