أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية CISA تحذيراً شديد اللهجة بشأن ثغرة خطيرة في حزمة Sudo الشهيرة على أنظمة Linux يستغلها المهاجمون حالياً في هجمات حقيقية. تتيح الثغرة المسجلة تحت الرقم CVE-2025-32463 للمهاجم المحلي تنفيذ أوامر بصلاحيات root عبر خيار -R (–chroot) حتى لو لم يكن مذكوراً ضمن ملف sudoers الذي يحدد المستخدمين المصرح لهم بتنفيذ أوامر إدارية.
اكتشف الثغرة الباحث ريتش ميرش من Stratascale. وتؤثر هذه الثغرة، المقيمة بخطورة حرجة (9.3 من 10)، على الإصدارات من 1.9.14 إلى 1.9.17 من Sudo، بينما أوضح الباحث أن المشكلة تمس التكوين الافتراضي لـSudo ولا تتطلب أي مسبقة لتمكين الاستغلال.
أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية هذه الثغرة في كتالوج KEV الخاص بالثغرات المستغلة فعلياً وألزمت الوكالات الفيدرالية الأميركية بتطبيق إجراءات التخفيف الرسمية أو التوقف عن استخدام Sudo كلياً بحلول 20 أكتوبر، واصفة الثغرة بأنها ناتجة عن “إدراج وظائف من مصدر غير موثوق”، مؤكدة أن مهاجمين يستغلونها بنشاط في هجماتهم، رغم أنها لم تكشف عن تفاصيل محددة بشأن أنواع الحوادث المسجلة.
في الرابع من يوليو نشر ميرش إثبات قابلية استغلال الثغرة، لكن استغلالات إضافية ظهرت علناً منذ الأول من يوليو استناداً إلى الورقة التقنية الأصلية. المقلق أن الخلل موجود منذ يونيو 2023 عند إصدار النسخة 1.9.14 ما يعني أن أنظمة كثيرة قد تكون عرضة للاستغلال منذ أكثر من عام دون علم.
يعتبر Sudo من الأدوات الأساسية لإدارة صلاحيات المستخدمين على Linux حيث يتيح للمسؤولين منح صلاحيات محددة للمستخدمين غير المصرح لهم أصلاً مع تسجيل الأوامر المنفذة. حولت هذه الثغرة الميزة التي تعتبر عنصراً أمنياً إلى نقطة ضعف تمكّن مهاجماً محلياً من السيطرة الكاملة على النظام.
