Zenn
😔

CVE-2025-32462・CVE-2025-32463とその対策

に公開
sudo
vulnerability
doas
tech

概要

2025年6月、Linux/Unix系システムで広く使用されているsudoコマンドに重大な特権昇格脆弱性が見出されました。両脆弱性はsudo 1.9.17p1で修正されており、緊急対応が必要となります。

  • CVE-2025-32462(CVSS 2.8): hostオプション(-h/--host)による制限回避
  • CVE-2025-32463(CVSS 9.3): chrootオプション(-R/--chroot)による任意コマンド実行

脆弱性の詳細分析

CVE-2025-32462: ホストオプションによる制限回避

脆弱性の概要

sudoの-hまたは--hostオプションは本来、リストオプション(-lまたは--list)と組み合わせて、現在のホスト以外でのユーザーのsudo権限を一覧表示するために設計されています。しかし、バグにより権限の一覧表示に制限されず、sudoを介したコマンド実行やsudoeditでのファイル編集時にも使用できてしまいます。

攻撃シナリオ

CVE-2025-32462は、Sudoの安定版(v1.9.0 – 1.9.17)と従来版(v1.8.8 – 1.8.32)に影響します。

具体的な攻撃例:

  1. sudoersファイルで特定のホストでの実行が許可されているユーザーが存在
  2. アタッカーが-hオプションを悪用して、意図されていないマシンでコマンドを実行
  3. ホスト制限を回避して、本来許可されていない環境での権限昇格を実現

技術的詳細

「このバグは事実上、ユーザーがルールを評価する際に使用されるホストを自分で設定できるため、sudoersルールのホスト名部分を無関係にしてしまいます」とセキュリティ研究者は説明しています。

CVE-2025-32463: chrootオプションによる任意コマンド実行

脆弱性の概要

アタッカーはsudoの-R(--chroot)オプションを利用して、sudoersファイルに記載されていなくても、任意のコマンドをrootとして実行できます。

根本原因

CVE-2025-32463は、sudo バージョン1.9.14で導入された設計上の欠陥に起因し、sudoersポリシー評価中にパス解決がユーザー制御のchroot環境内で不適切なタイミングで発生します。具体的には、-Rまたは--chrootオプションでsudoが呼び出されると、/etc/nsswitch.confの読み込みを試行します。

攻撃の仕組み

  1. アタッカーがchrootオプションを使用してsudoを実行
  2. 一般ユーザー制御下のchroot環境でパス解決が実行される
  3. この過程でアタッカーが任意のコマンドをroot権限で実行可能
  4. 一般ユーザ権限を所有するアタッカーはこの脆弱性を悪用して権限を管理者レベル(root)に昇格させることができます

影響範囲と危険度評価

影響を受けるバージョン

  • CVE-2025-32462: sudo v1.8.8 – v1.9.17(安定版・従来版両方)
  • CVE-2025-32463: sudo v1.9.14以降(chrootサポートが導入されたバージョン)

CVSSスコア

  • CVE-2025-32462: 2.8(低)
  • CVE-2025-32463: 9.3(緊急)

CVE-2025-32463は、sudoersに記載されていない非特権ユーザーでも--chrootオプションを通じて不正なroot アクセスを可能にします。

修正内容と対策

パッチの詳細

CVE-2025-32462とCVE-2025-32463の両方が、2025年6月初旬にリリースされたバージョン1.9.17p1で修正されています。

CVE-2025-32462の修正

  • hostオプション(-h/--host)の使用をリストオプション(-l/--list)と組み合わせた場合のみに制限
  • コマンド実行やファイル編集時のhostオプション使用を無効化

CVE-2025-32463の修正

問題を修正するため、sudo 1.9.17p1ではバージョン1.9.14で行われた変更を元に戻し、--chroot機能を完全に非推奨にしました。パッチではpivot_root()ロジックを削除し、コマンドマッチング中にchroot() を呼び出すことを不可能にしています。

推奨される対応手順

1. 緊急対応(即座に実施)

# 現在のsudoバージョンを確認
sudo --version

# パッケージ管理システムを更新
# Ubuntu/Debian系
sudo apt update && sudo apt upgrade sudo

# RHEL/CentOS系
sudo yum update sudo
# または
sudo dnf update sudo

2. 検証作業

# 更新後のバージョンを確認(1.9.17p1以降であること)
sudo --version

# sudoersファイルの構文チェック
sudo visudo -c

3. 設定の見直し

  • sudoersファイル内のホスト制限設定の確認
  • chrootオプションを使用している設定がある場合は代替手段への移行検討
  • 最小権限の原則に基づく権限設定の見直し

検出と監視

攻撃の検出方法

システムログで以下のパターンを監視:

# /var/log/auth.logまたは/var/log/secure
grep -E "(sudo.*-h|sudo.*--host|sudo.*-R|sudo.*--chroot)" /var/log/auth.log

# 異常なsudo使用パターンの検出
grep -E "sudo.*COMMAND.*chroot|sudo.*COMMAND.*host" /var/log/auth.log

継続的監視の実装

  • sudo使用ログの詳細監視体制の構築
  • ホストオプションやchrootオプション使用時のアラート設定
  • 権限昇格イベントの異常検知システムの導入

長期的な対策

セキュリティ強化施策

  1. 最小権限の原則の徹底

    • sudoers設定の定期見直し
    • 不要な権限の削除

  2. 代替ソリューションの検討
      - OSをOpenBSDに移行する または、DOAS のポーティングなどを利用する。

  3. 監査体制の強化

    • sudo使用ログの長期保存
    • 権限変更の承認フロー導入

まとめ

今回発見された2つのsudo脆弱性は、特にCVE-2025-32463に関しては緊急度の高い脆弱性となります。sudoは多くLinuxデスクトップ配布物にデフォルトでインストールされているため、組織全体での迅速な対応が必要です。

重要なアクションアイテム:

  1. 全システムでのsudo 1.9.17p1への迅速更新
  2. chrootオプション使用の廃止計画策定
  3. sudoers設定の全面見直し
  4. 継続的な監視体制の構築
  5. DOAS などの sudo がもつ潜在的な脆弱性を排した安全な管理権限委譲手段への移行(これには多くの管理用コード変更や手動における管理手順変更が伴います)

この脆弱性への対応は、単なるパッチ適用にとどまらず、組織全体の権限管理体制を見直す良い機会でもあります。セキュリティインシデントの予防と、万が一の際の迅速な対応のため、包括的な対策の実装を強く推奨します。

Discussion