CISA cảnh báo lỗ hổng Sudo nghiêm trọng đang bị khai thác tích cực trong các hệ thống Linux và Unix

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) hôm thứ Hai đã thêm một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến tiện ích dòng lệnh Sudo cho các hệ điều hành Linux và Unix vào danh mục Known Exploited Vulnerabilities (KEV) của mình, với bằng chứng về việc bị khai thác tích cực trong thực tế. Lỗ hổng được đề cập là CVE-2025-32463 (điểm CVSS: 9.3), ảnh hưởng đến các phiên bản Sudo trước 1.9.17p1.
Lỗ hổng Sudo nghiêm trọng
Lỗ hổng Sudo nghiêm trọng

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) hôm thứ Hai đã thêm một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến tiện ích dòng lệnh Sudo cho các hệ điều hành Linux và Unix vào danh mục Known Exploited Vulnerabilities (KEV) của mình, với bằng chứng về việc bị khai thác tích cực trong thực tế.

Lỗ hổng được đề cập là CVE-2025-32463 (điểm CVSS: 9.3), ảnh hưởng đến các phiên bản Sudo trước 1.9.17p1. Nó đã được nhà nghiên cứu Rich Mirch từ Stratascale tiết lộ vào tháng 7 năm 2025.

"Sudo chứa một lỗ hổng về việc đưa chức năng từ một phạm vi kiểm soát không đáng tin cậy," CISA cho biết. "Lỗ hổng này có thể cho phép một kẻ tấn công cục bộ tận dụng tùy chọn -R (--chroot) của sudo để chạy các lệnh tùy ý với quyền root, ngay cả khi chúng không được liệt kê trong tệp sudoers."

Hiện tại vẫn chưa rõ lỗ hổng này đang bị khai thác như thế nào trong các cuộc tấn công thực tế và ai có thể đứng sau những nỗ lực đó. Bốn lỗ hổng khác cũng đã được thêm vào danh mục KEV -

  • CVE-2021-21311 - Adminer chứa lỗ hổng server-side request forgery, khi bị khai thác, cho phép kẻ tấn công từ xa lấy thông tin nhạy cảm tiềm ẩn. (Được Google Mandiant tiết lộ là bị khai thác vào tháng 5 năm 2022 bởi một tác nhân đe dọa tên là UNC2903 để nhắm mục tiêu vào các thiết lập AWS IMDS)
  • CVE-2025-20352 - Cisco IOS và IOS XE chứa lỗ hổng stack-based buffer overflow trong hệ thống con Simple Network Management Protocol (SNMP) có thể dẫn đến denial of service hoặc remote code execution. (Được Cisco tiết lộ là bị khai thác vào tuần trước)
  • CVE-2025-10035 - Fortra GoAnywhere MFT chứa lỗ hổng deserialization of untrusted data cho phép một tác nhân với chữ ký phản hồi giấy phép giả mạo hợp lệ có thể khử tuần tự một đối tượng do tác nhân kiểm soát tùy ý, có thể dẫn đến command injection. (Được watchTowr Labs tiết lộ là bị khai thác vào tuần trước)
  • CVE-2025-59689 - Libraesva Email Security Gateway (ESG) chứa lỗ hổng command injection cho phép thực hiện command injection qua một tệp đính kèm email nén. (Được Libraesva tiết lộ là bị khai thác vào tuần trước)

Trước tình trạng bị khai thác tích cực, các cơ quan Federal Civilian Executive Branch (FCEB) đang sử dụng các sản phẩm bị ảnh hưởng được khuyến nghị áp dụng các biện pháp giảm thiểu cần thiết trước ngày 20 tháng 10 năm 2025 để bảo vệ mạng lưới của họ.

Thẻ liên quan
#Sudo #Linux #Unix #CISA KEV #CVE-2025-32463 #An ninh mạng