Вразливість «chwoot» у sudo – як невидима помилка загрожує мільйонам Linux-систем

У липні 2025 року стало відомо про серйозну вразливість в інструменті sudo, який є основним елементом безпеки в системах Linux. Помилка отримала назву chwoot — неофіційне скорочення, яке поєднує два поняття: chroot і root. Йдеться про критичну лазівку, що дозволяє звичайному користувачу за лічені секунди отримати повний контроль над системою. Поки частина серверів працює без оновлень, загроза продовжує поширюватися навіть у захищених середовищах, пише Пушкінська.

Що таке уразливість chwoot і як вона проявляється

Назва «chwoot» виникла як комбінація понять, що стосуються ізоляції користувачів (chroot) і найвищих прав доступу (root). Уразливість проявляється в тому, як sudo обробляє внутрішні команди. У певних версіях між системними викликами завантажується конфігураційний файл /etc/nsswitch.conf, через який зловмисник може підставити власну динамічну бібліотеку (.so). Ця бібліотека запускається з правами суперкористувача.

Фахівці з безпеки вже підтвердили наявність робочого Proof-of-Concept (PoC). Тобто проблема — не гіпотетична. Вона дійсно працює й використовується у реальних системах.

Які версії sudo вразливі

Згідно з технічним описом CVE-2025-32463, уразливими є всі версії sudo від 1.8.32 до 1.9.17. Проблема стосується більшості сучасних дистрибутивів, зокрема:

• Ubuntu 24.04.1
• Fedora 41
• Arch Linux

Не зачепленим залишився лише Debian Bookworm, який використовує старішу версію sudo.

Оцінка критичності: CVSS 9.2 — одна з найвищих.
Тип загрози: локальна ескалація привілеїв, тобто можливість підвищити рівень доступу без дозволу адміністратора.

Чим ця вразливість chwoot небезпечна для Linux

Одна з головних загроз полягає в тому, що для атаки не потрібні спеціальні права чи доступ до мережі. Зловмиснику достатньо базового доступу до терміналу. Це особливо критично у середовищах спільного хостингу, CI/CD або на віддалених віртуальних машинах у хмарі. Навіть образи, які здаються “чистими”, можуть бути вразливими одразу після запуску.

Як відбувається атака

Редакція німецького видання Renewz.de протестувала експлойт на хмарній версії Ubuntu 24.04. Після встановлення компілятора та кількох команд — зловмисник отримав root-доступ менш ніж за хвилину. Це означає, що навіть тимчасові або нові сервери можуть бути повністю скомпрометовані без втручання ззовні.

Як ліквідувати вразливість chwoot

Щоб захистити систему, адміністратори мають виконати такі кроки:

Інструкція

1. Перевірити поточну версію sudo sudo --version
2. Встановити оновлення
   • Ubuntu: sudo apt update && sudo apt upgrade
   • Fedora: sudo dnf upgrade
3. Оновити хмарні шаблони
   Уразливі не лише активні машини, а й базові образи в AWS, Hetzner, IONOS та інших платформах.
4. Посилити моніторинг
   • Аналізувати логи sudo
   • Відстежувати підозрілі root-логіни
   • Дозволяти тільки підписані бібліотеки

Друга помилка в sudo: CVE-2025-32462

Паралельно з chwoot дослідник Річ Мірч виявив ще одну уразливість. Вона дозволяє обійти обмеження sudo, задані в /etc/sudoers, через спеціально сформовані параметри. Хоча ця помилка менш критична (CVSS 2.8), вона може створити загрозу в складних мережевих конфігураціях.

Уже виправлено у версії sudo 1.9.17p1.

Чому не можна зволікати з усуненням проблеми

Вразливість chwoot — це не просто чергове повідомлення з бази CVE. Вона стосується ключового інструменту, який використовується майже на кожному Linux-сервері. Її серйозність — у простоті експлуатації та широті поширення.

Як швидко підвищити безпеку Linux-систем

Критичні оновлення вже доступні. Чим раніше ваша система отримає патч, тим менший ризик непомітного зламу або втрати контролю. Особливо це актуально для команд, які працюють з CI/CD, хмарними сервісами та спільними середовищами.

Раніше ми писали про те, що Сенат США скасував мораторій на федеральне регулювання ШІ.