ابزار Sudo  یکی از حیاتی‌ترین اجزای سیستم‌عامل‌های Linux و Unix است که به کاربران اجازه می‌دهد برخی دستورات را با سطح دسترسی بالاتر اجرا کنند. حالا آسیب‌پذیری جدیدی با شناسه CVE-2025-32463  کشف شده که به گفته‌ی CISA(آژانس امنیت سایبری ایالات متحده) به طور فعال در حال سوءاستفاده است و می‌تواند سرنوشت سازمان‌ها را تغییر دهد.

جزئیات آسیب‌پذیری

✔️ شناسه: CVE-2025-32463

✔️ امتیاز CVSS :  9.3 (بحرانی)

✔️ نسخه‌های آسیب‌پذیر:  Sudo پیش از 1.9.17p1

✔️ ریشه مشکل: اجرای دستورات از قلمرو کنترل نامطمئن (Untrusted Control Sphere)

✔️ روش سوءاستفاده: مهاجم محلی می‌تواند با استفاده از گزینه‌ی -R یا --chroot در Sudo دستورات دلخواه را به عنوان root اجرا کند، حتی اگر در فایل sudoers مجاز نشده باشد .

Sudo چیست؟

Sudo  یا Superuser Do  ابزاری در سیستم‌عامل‌های Linux و Unix است که به کاربران عادی اجازه می‌دهد برخی دستورات را با سطح دسترسی بالاتر (مانند کاربر root) اجرا کنند. هدف اصلی آن، مدیریت کنترل‌شده‌ی دسترسی‌ها است. یعنی به جای دادن رمز عبور root به همه‌ی کاربران، می‌توان از طریق فایل sudoers  مشخص کرد چه کسی چه دستوری را با چه سطحی اجرا کند. این مکانیزم هم امنیت را افزایش می‌دهد (با محدودسازی دسترسی‌ها) و هم امکان ثبت و لاگ‌برداری از دستورات را فراهم می‌کند. به همین دلیل sudo  به یکی از پرکاربردترین ابزارهای مدیریت و امنیت در سرورها، دیتاسنترها و حتی محیط‌های دسکتاپ لینوکسی تبدیل شده است.

چرا این نقص خطرناک است؟

۱. گستردگی استفاده: تقریباً تمام توزیع‌های لینوکسی و یونیکسی از Sudo استفاده می‌کنند.
۲. امکان ارتقای دسترسی: مهاجم محلی به راحتی می‌تواند کنترل کامل سیستم را به دست گیرد.
۳. تهدید برای زیرساخت‌های حیاتی: سرورهای سازمانی، دیتاسنترها و سرویس‌های ابری همه در معرض خطر قرار دارند.
۴. ثبت در لیست KEV : این آسیب‌پذیری در فهرست Known Exploited Vulnerabilities (KEV)  قرار گرفته که نشان می‌دهد real attack ها در حال وقوع هستند .

🛡 راهکارهای مقابله با آسیب‌پذیری Sudo

برای کاهش سطح ریسک و جلوگیری از سوءاستفاده مهاجمان، توصیه می‌شود سازمان‌ها اقدامات زیر را به‌صورت فوری و ساختارمند در برنامه امنیتی خود لحاظ کنند:

1. به‌روزرسانی فوری (Patch Management) : نسخه‌های آسیب‌پذیر را شناسایی کرده و همه سیستم‌ها را به نسخه امن Sudo 1.9.17p1 یا بالاتر ارتقا دهید. این اقدام حیاتی‌ترین گام در مسدودسازی مسیرهای بهره‌برداری است.
2. محدودسازی قابلیت chroot : تا زمان به‌روزرسانی کامل، گزینه‌ی --chroot یا -R را غیرفعال یا دسترسی به آن را سخت‌گیرانه کنترل کنید، چرا که محور اصلی سوءاستفاده در این نقص همین قابلیت است.
3. بازبینی دقیق sudoers Policy : پیکربندی فایل sudoers را بازبینی کرده و قوانین پرخطر مانند استفاده گسترده از ALL یا دسترسی‌های غیرضروری را حذف کنید. این کار مانع از اجرای بی‌ضابطه دستورات سطح بالا توسط کاربران محلی می‌شود.
4. مانیتورینگ و تحلیل لاگ‌ها: ثبت و بررسی مداوم لاگ‌های مرتبط با sudo و سرویس‌هایی مانند auditd به شناسایی الگوهای مشکوک کمک می‌کند و امکان واکنش سریع در برابر بهره‌برداری احتمالی را فراهم می‌سازد.
5. اصل حداقل دسترسی (Least Privilege) : دسترسی‌های مدیریتی را تنها به کاربرانی که واقعاً نیاز دارند اختصاص دهید. حذف حساب‌های غیرضروری یا سطح دسترسی بیش از حد می‌تواند سطح حمله را به‌طور چشمگیری کاهش دهد.
6. دفاع چندلایه (Defense in Depth) : حتی در صورت موفقیت مهاجم در بهره‌برداری، استفاده از مکانیزم‌های امنیتی مکمل مانند SELinux  یا AppArmor  می‌تواند دامنه‌ی اثر حمله را محدود کرده و مانع از گسترش آن به سایر اجزای سیستم شود.

نتیجه‌گیری

آسیب‌پذیری CVE-2025-32463 یادآوری می‌کند که ابزارهای بنیادی و مورداعتماد مثل sudo نیز می‌توانند به پاشنه‌آشیل زیرساخت‌های سازمانی تبدیل شوند. درسی که این حادثه به ما می‌دهد روشن است: امنیت هیچ‌گاه قطعی و دائمی نیست و تنها با به‌روزرسانی مداوم، بازبینی سیاست‌های دسترسی و اجرای دفاع چندلایه می‌توان از تبدیل یک نقص فنی به بحرانی تمام‌عیار جلوگیری کرد. مدیران امنیتی امروز باید با نگاهی فراتر از «پچ کردن یک ابزار» به موضوع بنگرند. این تهدید فرصتی است تا کل زنجیره‌ی امنیتی خود را بازبینی کنند و برای فردایی مقاوم‌تر آماده شوند.