本周网络安全领域警报频传,Linux系统中的Sudo工具以及Lucee应用服务器分别曝出高危漏洞,给众多用户和企业的信息安全带来严峻挑战。这些漏洞不仅影响范围广泛,且利用难度较低,一旦被恶意攻击者利用,可能造成严重的安全后果。
一、Linux高危Sudo漏洞可提权至root并绕过限制,PoC已公开
近日,Stratascale网络研究部门(CRU)的Rich Mirch发布安全公告,揭示了Sudo工具中存在的两个高危漏洞,编号分别为CVE-2025-32463和CVE-2025-32462 。这两个漏洞犹如隐藏在系统深处的定时炸弹,能够让攻击者绕过系统精心设置的配置保护措施,即便在被明确拒绝访问的情况下,也能将权限提升至root,获取系统的最高控制权。
(一)CVE-2025-32463:chroot选项引发的权限危机
CVE-2025-32463是一个极其危险的本地提权漏洞,它巧妙地滥用了Sudo中鲜为人知的 --chroot (-R)选项。从Sudo 1.9.14版本开始,其实现chroot()的方式发生了改变,该工具会在评估sudoers文件之前,就先行解析chroot环境中的路径。这看似细微的变化,却为攻击者打开了方便之门。攻击者可以精心构造攻击手段,诱骗Sudo读取伪造的/etc/nsswitch.conf文件,而这个伪造文件能够指示系统加载恶意共享库,例如libnss_/woot1337.so.2 。如此一来,攻击者便可以在无需sudoers权限的情况下,实现令人胆寒的root级任意代码执行。CRU提供的概念验证脚本(sudo-chwoot.sh),清晰且直观地展示了这种攻击的实际效果,原本权限有限的低权限用户,借助这个漏洞,能够瞬间获得高权限,对系统安全构成了极大的威胁。
(二)CVE-2025-32462:主机参数导致的权限绕过
CVE-2025-32462虽然不像CVE-2025-32463那样引人注目,但同样极具危险性,尤其是在采用集中式sudoers文件管理多主机的企业环境中,其危害更为凸显。Sudo设计中的 --host (-h)选项,本意是为了让用户查看其他主机上自己所拥有的权限,并不支持命令执行功能。然而,由于一个存在长达12年的逻辑缺陷,这个选项却被攻击者利用来绕过权限限制。CRU的研究表明,该漏洞实际上会使sudoers规则中的主机名部分失去效力,因为用户可以在评估规则时,自行设置要使用的主机。在实际案例中,原本仅允许特定用户在某一指定主机上执行命令的规则,利用这个漏洞,该用户只需在sudo命令中添加 -h 参数并指定目标主机名,就能在任何主机上执行相同命令,即便当前主机明确拒绝其访问,也无法阻止这种越权行为。
(三)漏洞修复与应对建议
值得庆幸的是,Sudo 1.9.17p1版本已经对这两个漏洞进行了修复。针对CVE-2025-32463,补丁通过回退1.9.14版的相关修改,并彻底弃用 --chroot 功能,移除了pivot_root()逻辑,使得在命令匹配期间无法调用chroot(),从而有效封堵了这个权限提升的漏洞。对于CVE-2025-32462,Sudo 1.9.17p1将 --host 选项严格限制为最初设计的列出规则功能,一旦用户尝试将其用于其他操作,系统将立即触发用法错误提示,防止权限绕过的发生。
鉴于这两个漏洞的严重性,建议所有Linux用户立即采取行动,尽快将Sudo升级到1.9.17p1及以上版本。同时,系统管理员应加强对系统权限的管理和监控,定期检查sudoers文件的配置,确保权限分配合理且安全。此外,对于重要系统和数据,应建立完善的备份机制,以便在遭受攻击或出现意外情况时能够快速恢复,减少损失。
二、Lucee应用服务器曝高危漏洞,可通过计划任务滥用实现认证RCE
与此同时,高性能开源CFML(ColdFusion Markup Language)应用服务器Lucee也曝出了严重的安全漏洞,编号为CVE-2025-34074 ,其CVSS评分高达9.4,属于高危漏洞范畴。这一漏洞使得已认证的管理员能够通过滥用Lucee的计划任务功能,执行任意远程代码,对使用Lucee搭建的应用系统构成了巨大的安全威胁。
(一)漏洞原理与攻击方式
Lucee凭借其对Java集成、HTTP、ORM和动态脚本的强大支持,成为众多开发者构建可扩展高速应用程序的首选。然而,在其管理界面中,计划任务处理机制存在的缺陷却为攻击者提供了可乘之机。拥有 /lucee/admin/web.cfm 访问权限的认证用户,能够恶意配置任务,从攻击者控制的服务器获取远程 .cfm 文件(CFML脚本)。Lucee在获取到该文件后,会将其自动写入webroot目录,并以Lucee服务器进程的完整权限执行该脚本。正如CVE描述中所指出的,由于Lucee在计划任务获取过程中,未对相关操作实施完整性检查、路径限制或执行控制,这一原本用于提升应用灵活性的功能,被攻击者滥用于实现任意代码执行,进而控制整个服务器。
(二)漏洞影响与风险
该漏洞影响范围广泛,涵盖了所有支持计划任务功能的Lucee版本。一旦攻击者通过暴力破解、钓鱼攻击、内部人员泄露或使用先前泄露的凭据等手段获取管理员权限,便可以轻松利用这个漏洞部署恶意负载,实现对服务器的完全控制。更为严峻的是,目前该漏洞的Metasploit模块已经公开发布,这使得攻击门槛大幅降低,即便是技术水平相对较低的攻击者,也能够借助这个工具发动攻击。成功利用此漏洞,攻击者可能会窃取系统中的敏感凭据,进而实现内网横向移动;也可能导致数据泄露或被销毁,给企业和用户带来直接的经济损失;甚至服务器可能被滥用于进一步的横向渗透攻击,或者作为C2(Command and Control,指挥与控制)托管平台,对更广泛的网络安全造成威胁。
(三)防范措施与建议
鉴于Lucee在企业和政府系统中的广泛应用,为了降低安全风险,保障系统安全,建议相关组织立即采取一系列防范措施。首先,通过IP白名单或VPN等技术手段,严格限制对Lucee管理界面的访问,减少非法访问的可能性;其次,对所有现有计划任务进行全面审计,仔细排查是否存在可疑的远程文件拉取行为;再者,加强对webroot目录文件变更的监控,特别是对于异常的 .cfm 文件,要及时发现并进行调查处理;最后,密切关注Lucee开发团队发布的补丁或热修复程序,及时进行更新,确保系统的安全性。
本周曝光的Linux高危Sudo漏洞和Lucee应用服务器高危漏洞,再次为网络安全敲响了警钟。无论是个人用户还是企业组织,都应高度重视网络安全问题,及时关注安全动态,更新软件版本,加强安全防护措施,以应对不断变化的网络安全威胁,保护自身的信息安全和利益。