Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) vừa phát đi cảnh báo về một lỗ hổng bảo mật nghiêm trọng (CVE-2025-32463) trong gói Sudo – công cụ cốt lõi cho phép người dùng thực thi lệnh với đặc quyền quản trị (root) trên các hệ điều hành Linux và Unix-like.
Lỗ hổng này cho phép kẻ tấn công cục bộ thực thi lệnh tùy ý với quyền root, ngay cả khi tài khoản đó không được cấp quyền trong tệp cấu hình sudoers nơi xác định danh sách người dùng hoặc nhóm được phép nâng cao đặc quyền.
Chi tiết kỹ thuật và mức độ nghiêm trọng
Lỗ hổng CVE-2025-32463, được đánh giá ở mức độ nghiêm trọng 9.3/10 (theo thang điểm CVSS), ảnh hưởng đến các phiên bản Sudo từ 1.9.14 đến 1.9.17.
Theo phân tích kỹ thuật, lỗ hổng nằm ở cơ chế xử lý tùy chọn -R (–chroot), cho phép kẻ tấn công lợi dụng để thực thi lệnh tùy ý dưới quyền root, bất chấp cấu hình hạn chế.
Nhà nghiên cứu Rich Mirch thuộc công ty dịch vụ an ninh mạng Stratascale là người đã phát hiện ra lỗ hổng này. Ông cho biết lỗi tồn tại ngay trong cấu hình mặc định của Sudo và có thể khai thác mà không cần bất kỳ quy tắc cấp quyền nào được định sẵn.
Lỗ hổng được công bố chính thức vào ngày 30/6/2025, và đến ngày 4/7/2025, Mirch đã phát hành mã khai thác minh họa (proof-of-concept – PoC). Tuy nhiên, nhiều mã khai thác khác đã được lan truyền công khai từ ngày 1/7, có thể dựa trên bài phân tích kỹ thuật ban đầu của ông.
CISA đưa vào danh mục KEV – Lỗ hổng đang bị khai thác thực tế
Trước tình hình này, CISA đã thêm CVE-2025-32463 vào danh mục “Known Exploited Vulnerabilities” (KEV) – tập hợp các lỗ hổng đã được ghi nhận là bị khai thác trong môi trường thực tế.
CISA mô tả vấn đề này là “việc bao gồm chức năng từ miền điều khiển không tin cậy” (inclusion of functionality from untrusted control sphere) – một lỗi thiết kế nghiêm trọng có thể dẫn đến chiếm quyền điều khiển hệ thống.
Cơ quan này yêu cầu tất cả các cơ quan liên bang Mỹ phải triển khai biện pháp khắc phục hoặc ngừng sử dụng sudo bị ảnh hưởng trước ngày 20/10/2025.
Mặc dù CISA chưa tiết lộ chi tiết về các chiến dịch tấn công cụ thể đang khai thác lỗ hổng, nhưng việc đưa CVE này vào KEV cho thấy mức độ phổ biến và nguy hiểm thực tế của nó trong các môi trường sản xuất.
Các lỗ hổng khác được thêm vào KEV cùng thời điểm
Bên cạnh CVE-2025-32463, CISA cũng bổ sung bốn lỗ hổng khác đang bị khai thác tích cực, bao gồm:
-
CVE-2021-21311 (Adminer) – Lỗ hổng Server-Side Request Forgery (SSRF) cho phép tin tặc truy cập dữ liệu nhạy cảm. Google Mandiant từng ghi nhận việc khai thác này từ nhóm UNC2903 nhắm vào môi trường AWS IMDS (tháng 5/2022).
-
CVE-2025-20352 (Cisco IOS & IOS XE) – Lỗi tràn bộ nhớ ngăn xếp (stack-based buffer overflow) trong mô-đun SNMP, có thể dẫn đến từ chối dịch vụ hoặc thực thi mã từ xa.
-
CVE-2025-10035 (Fortra GoAnywhere MFT) – Lỗi deserialization dữ liệu không tin cậy, cho phép kẻ tấn công giả mạo phản hồi giấy phép để thực thi lệnh độc hại.
-
CVE-2025-59689 (Libraesva Email Security Gateway) – Lỗ hổng chèn lệnh (command injection) qua tệp đính kèm email nén, có thể dẫn đến chiếm quyền điều khiển máy chủ bảo mật email.
Khuyến nghị cho tổ chức và doanh nghiệp
CISA khuyến cáo mọi tổ chức, đặc biệt là các đơn vị vận hành hệ thống Linux hoặc hạ tầng bảo mật phụ thuộc vào sudo, cần:
-
Cập nhật sudo lên phiên bản 1.9.17p1 hoặc mới hơn ngay lập tức.
-
Kiểm tra nhật ký hệ thống (syslog, auditd) để phát hiện hành vi nghi vấn liên quan đến lệnh sudo và chroot.
-
Tham chiếu danh mục KEV của CISA để ưu tiên vá các lỗ hổng đã bị khai thác thực tế, tránh tình trạng “vá muộn sau khi bị tấn công”.
-
Áp dụng mô hình đặc quyền tối thiểu (Least Privilege) và kiểm soát nghiêm ngặt việc cấp quyền sudo cho người dùng nội bộ.
Lỗ hổng trong Sudo một lần nữa nhấn mạnh rằng ngay cả những thành phần lõi, lâu đời và đáng tin cậy nhất trong hệ sinh thái Linux cũng không miễn nhiễm trước rủi ro bảo mật.
Việc khai thác CVE-2025-32463 cho phép leo thang đặc quyền đến cấp root – một bước đệm nguy hiểm thường được sử dụng trong các cuộc tấn công ransomware hoặc chiếm quyền kiểm soát hạ tầng.
Do đó, các tổ chức cần hành động khẩn cấp để cập nhật và tăng cường giám sát, nhằm giảm thiểu rủi ro bị khai thác và bảo vệ tài sản số trước các mối đe dọa đang gia tăng.
