„chwoot“-Lücke in sudo: Wie ein unsichtbarer Fehler Millionen Linux-Systeme bedroht
In der IT-Welt sind es oft kleine Details, die den Unterschied zwischen stabilen Systemen und vollständiger Kontrolle durch Angreifer ausmachen. Genau das zeigt eine neu entdeckte Sicherheitslücke im weit verbreiteten Linux-Tool sudo. Sie betrifft die Funktion chroot, die eigentlich zur Isolation von Nutzerrechten dient – aber in bestimmten Versionen versagt. Dadurch kann ein einfacher Nutzer innerhalb von Sekunden Root-Rechte erlangen. Darüber berichtet Renewz.de unter Berufung auf eine technische Analyse von heise online.
Was ist „chwoot“
Der Name „chwoot“ ist ein Wortspiel aus chroot (eine Funktion in sudo) und Root (höchste Systemberechtigung). Die Sicherheitslücke entsteht dadurch, dass zwischen zwei Systemaufrufen die Konfigurationsdatei /etc/nsswitch.confgeladen wird. Angreifer können dabei eine manipulierte .so-Bibliothek einspielen, die anschließend mit Root-Rechtenausgeführt wird.
Ein öffentlich zugänglicher Proof-of-Concept-Exploit (PoC) ist bereits verfügbar. Das bedeutet: Die Lücke ist praktisch ausnutzbar, nicht nur theoretisch.
Technische Details im Überblick
| Attribut | Information |
|---|---|
| CVE-ID | CVE-2025-32463 |
| CVSS Score | 9,2 (kritisch) |
| Betroffene Versionen | sudo 1.8.32 bis 1.9.17 |
| PoC vorhanden | Ja, öffentlich im Umlauf |
| Gefahr | Lokale Privilegien-Eskalation |
| Distributionen | Ubuntu 24.04.1, Fedora 41, Arch Linux u. v. m. |
| Nicht betroffen | Debian Bookworm (ältere sudo-Version) |
Warum ist das so gefährlich
Diese Lücke kann
- in Sekunden Root-Zugang ermöglichen
- von jedem lokalen Nutzer ausgenutzt werden
- auf Standard-Cloud-Images vorkommen
- auch Produktionssysteme kompromittieren
Dabei braucht der Angreifer keine Netzwerkanbindung oder spezielle Berechtigungen – ein einfacher Shell-Zugang genügt. Die sudo-Schwachstelle wirkt umso gefährlicher, da sie ein zentraler Baustein jeder Linux-Sicherheit ist.
Was sollten Admins jetzt tun
1. Version prüfen
bashKopierenBearbeitensudo --version
2. Update einspielen
- Für Ubuntu:bashKopierenBearbeiten
sudo apt update && sudo apt upgrade - Für Fedora:bashKopierenBearbeiten
sudo dnf upgrade
3. Cloud-Images aktualisieren
Auch vorbereitete Vorlagen (Templates) in AWS, Hetzner, IONOS etc. sind betroffen. Nicht nur aktive Server müssen aktualisiert werden.
4. Sicherheit prüfen
- Root-Logins überwachen
- sudo-Protokolle analysieren
- Nur signierte Bibliotheken zulassen
Beispiel: Wie leicht der Angriff funktioniert
Die Redaktion von Renewz.de testete den Exploit auf einer Ubuntu-24.04-Cloud-VM. Nach Installation eines C-Compilers ließ sich der PoC mit wenigen Befehlen ausführen – und lieferte innerhalb von 60 Sekunden eine Root-Shell. Fazit: Selbst Systeme, die „frisch“ installiert erscheinen, sind angreifbar, wenn nicht sofort gepatcht wird.
Zweite Schwachstelle in sudo entdeckt (CVE-2025-32462)
Neben der Hauptlücke wurde von Sicherheitsforscher Rich Mirch noch eine zweite Lücke gefunden:
Wenn sudo-Befehle in /etc/sudoers auf bestimmte Hosts beschränkt sind, kann diese Restriktion durch geschickte Parameter-Kombination umgangen werden.
- Bewertung: Niedriges Risiko (CVSS 2,8)
- Gefährlich in: Speziellen Netzwerkkonfigurationen
- Bereits behoben in: sudo 1.9.17p1
Zusammenfassung: 5 Schritte zur Sicherheit
| Schritt | Maßnahme |
|---|---|
| 1 | sudo-Version prüfen |
| 2 | Sicherheitsupdate einspielen (min. 1.9.17p1) |
| 3 | Cloud-Templates aktualisieren |
| 4 | Logs & sudo-Verhalten überwachen |
| 5 | Root-Policies prüfen und ggf. verschärfen |
Die Schwachstelle „chwoot“ ist kein theoretisches Problem, sondern eine akute Sicherheitsbedrohung für viele produktive Linux-Systeme. Durch ihre Platzierung in einem zentralen Werkzeug wie sudo, ihre Ausnutzbarkeit durch normale Nutzer und die Verfügbarkeit eines funktionierenden Exploits ist sie besonders kritisch einzustufen.
Wer jetzt schnell reagiert, verhindert
- unbemerkte Root-Eskalationen durch lokale Nutzer
- Komplettübernahmen in Shared Hosting-, Dev- und Cloud-Umgebungen
- Langfristige Angriffsvektoren durch ungepatchte Templates oder Images
Empfohlene Sofortmaßnahmen
- sudo-Version prüfen und auf mindestens 1.9.17p1 aktualisieren
- Cloud-Vorlagen überarbeiten
- automatisierte Patching-Prozesse prüfen und ggf. anpassen
- sudo-Logs regelmäßig analysieren
- Angriffsvektoren mit dynamischen Bibliotheken im NSS-Kontext sperren oder überwachen
Die gute Nachricht: Patches stehen bereit. Wer konsequent aktualisiert, ist bereits jetzt geschützt.
Bleiben Sie informiert! Lesen Sie auch - Technische Zeichnung 2025: Die Besten Programme Ohne Abo Und Mit DWG-Support