❗️ CVE-2025-32463: эскалация через sudo --chroot

Клиент: приватный CI-сервер с несколькими dev-учётками.

Исследователь: получил доступ к обычной учётке и нашёл, что sudo старой версии позволяет --chroot без защиты. Через контролируемое окружение он подменил NSS/библиотеки внутри chroot и добыл root.

🔤 Ход атаки:

1. Локальный user запускает `sudo --chroot` с контролируемым деревом.

2. Подмена NSS/libc-файлов в chroot.

3. Выполнение кода с правами root → full compromise CI, кража токенов и подпись/публикация артефактов.

🅰️ Полный контроль над сервером, утечка CI-секретов, вредоносные сборки в продакшне.

🛡️ Что сделали мгновенно:

— Обновили sudo до патченной версии.

— Временно запретили --chroot в sudoers для не-админов.

— Удалили/ограничили компиляторы и инструменты сборки на рабочих машинах.

— Провели аудит sudoers/LDAP и убрали shared-правила.

📎 Источник

🐸 Библиотека хакера

#breach_breakdown