Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило в свой каталог известных эксплуатируемых уязвимостей (KEV) критическую ошибку безопасности в утилите Sudo. Это решение было принято в понедельник на основании доказательств активного использования уязвимости в реальных атаках.
Критическая уязвимость, получившая идентификатор CVE-2025-32463, затрагивает утилиту командной строки Sudo, используемую в операционных системах Linux и Unix-подобных системах. Ошибка получила оценку 9.3 по шкале CVSS, что указывает на её чрезвычайную опасность. Уязвимы все версии Sudo до выпуска 1.9.17p1.
Проблема безопасности была впервые обнаружена и раскрыта в июле 2025 года исследователем Ричем Мирчем из компании Stratascale. Согласно официальному описанию от CISA, «Sudo содержит уязвимость, связанную с включением функциональности из недоверенной сферы контроля».
На практике это позволяет локальному злоумышленнику использовать опцию
Хотя CISA подтверждает, что уязвимость активно эксплуатируется, конкретные методы атак и стоящие за ними хакерские группировки на данный момент остаются неизвестными. Это создает дополнительную неопределенность и повышает уровень угрозы для администраторов систем по всему миру.
В каталог KEV были добавлены еще четыре активно эксплуатируемые уязвимости. Одна из них — CVE-2021-21311 в инструменте Adminer. Это ошибка подделки запросов на стороне сервера (SSRF), которая позволяет удаленному злоумышленнику получить конфиденциальную информацию. По данным Google Mandiant от мая 2022 года, она использовалась группировкой UNC2903 для атак на инфраструктуру AWS IMDS.
Другая уязвимость, CVE-2025-20352, затрагивает программное обеспечение Cisco IOS и IOS XE. Она представляет собой переполнение буфера на основе стека в подсистеме протокола SNMP и может привести к отказу в обслуживании (DoS) или удаленному выполнению кода. Компания Cisco сообщила об эксплуатации этой уязвимости на прошлой неделе.
Также в список попала CVE-2025-10035 в продукте Fortra GoAnywhere MFT. Эта ошибка десериализации недоверенных данных позволяет злоумышленнику с поддельной подписью лицензии выполнить внедрение команд. Об её использовании на прошлой неделе заявили эксперты из watchTowr Labs.
Последняя добавленная уязвимость — CVE-2025-59689 в Libraesva Email Security Gateway (ESG). Она позволяет осуществлять внедрение команд через специально созданное сжатое вложение в электронном письме. Факт эксплуатации был подтвержден самой компанией Libraesva на прошлой неделе.
В связи с добавлением этих пяти уязвимостей в каталог KEV, CISA издало директиву для всех федеральных гражданских исполнительных ведомств США (FCEB). Агентства обязаны применить необходимые исправления для всех затронутых продуктов, чтобы защитить свои сети от активных угроз. Крайний срок для выполнения этого требования установлен на 20 октября 2025 года.
Изображение носит иллюстративный характер
Критическая уязвимость, получившая идентификатор CVE-2025-32463, затрагивает утилиту командной строки Sudo, используемую в операционных системах Linux и Unix-подобных системах. Ошибка получила оценку 9.3 по шкале CVSS, что указывает на её чрезвычайную опасность. Уязвимы все версии Sudo до выпуска 1.9.17p1.
Проблема безопасности была впервые обнаружена и раскрыта в июле 2025 года исследователем Ричем Мирчем из компании Stratascale. Согласно официальному описанию от CISA, «Sudo содержит уязвимость, связанную с включением функциональности из недоверенной сферы контроля».
На практике это позволяет локальному злоумышленнику использовать опцию
-R (или --chroot) утилиты Sudo для выполнения произвольных команд с правами суперпользователя (root). Атака может быть успешной даже в том случае, если привилегии атакующего не прописаны в конфигурационном файле sudoers, что полностью обходит стандартные механизмы разграничения доступа. Хотя CISA подтверждает, что уязвимость активно эксплуатируется, конкретные методы атак и стоящие за ними хакерские группировки на данный момент остаются неизвестными. Это создает дополнительную неопределенность и повышает уровень угрозы для администраторов систем по всему миру.
В каталог KEV были добавлены еще четыре активно эксплуатируемые уязвимости. Одна из них — CVE-2021-21311 в инструменте Adminer. Это ошибка подделки запросов на стороне сервера (SSRF), которая позволяет удаленному злоумышленнику получить конфиденциальную информацию. По данным Google Mandiant от мая 2022 года, она использовалась группировкой UNC2903 для атак на инфраструктуру AWS IMDS.
Другая уязвимость, CVE-2025-20352, затрагивает программное обеспечение Cisco IOS и IOS XE. Она представляет собой переполнение буфера на основе стека в подсистеме протокола SNMP и может привести к отказу в обслуживании (DoS) или удаленному выполнению кода. Компания Cisco сообщила об эксплуатации этой уязвимости на прошлой неделе.
Также в список попала CVE-2025-10035 в продукте Fortra GoAnywhere MFT. Эта ошибка десериализации недоверенных данных позволяет злоумышленнику с поддельной подписью лицензии выполнить внедрение команд. Об её использовании на прошлой неделе заявили эксперты из watchTowr Labs.
Последняя добавленная уязвимость — CVE-2025-59689 в Libraesva Email Security Gateway (ESG). Она позволяет осуществлять внедрение команд через специально созданное сжатое вложение в электронном письме. Факт эксплуатации был подтвержден самой компанией Libraesva на прошлой неделе.
В связи с добавлением этих пяти уязвимостей в каталог KEV, CISA издало директиву для всех федеральных гражданских исполнительных ведомств США (FCEB). Агентства обязаны применить необходимые исправления для всех затронутых продуктов, чтобы защитить свои сети от активных угроз. Крайний срок для выполнения этого требования установлен на 20 октября 2025 года.
