1. 개요
2025년 7월 1일, 리눅스 및 유닉스 계열 시스템에서 널리 사용되는 Sudo 유틸리티에서 로컬 권한 상승(Local Privilege Escalation, LPE) 취약점 두 건(CVE-2025-32462, CVE-2025-32463)이 공개되었다. 해당 취약점들은 Sudo의 host 옵션과 chroot 옵션에서 발견되었으며, 이를 악용할 경우 일반 사용자가 루트 권한을 획득할 수 있다.
2. 취약점 타임라인 및 영향 범위
1) 취약점 공개 및 패치
- 2025년 6월 초: Sudo 1.9.17p1 버전에서 두 취약점에 대한 패치가 배포됨
- 2025년 7월 1일: 취약점 상세 내용 공개 및 주요 리눅스 배포판(우분투, 데비안, SUSE 등)에서 보안 업데이트 제공 시작
2) 영향받는 버전
- CVE-2025-32462: Sudo v1.8.8~1.8.32, v1.9.0~1.9.17
- CVE-2025-32463: Sudo v1.9.14~1.9.17 (레거시 버전은 chroot 기능 미포함으로 영향 없음)
3) 영향받는 운영체제
- 리눅스(우분투, 페도라 등 주요 배포판)
- macOS Sequoia(유닉스 기반)
3. 취약점 상세 분석
1) CVE-2025-32462: host 옵션 권한 상승
Sudo의 -h 또는 --host 옵션은 원래 -l 또는 --list 옵션과 함께 사용해 다른 호스트에서의 sudo 권한을 조회하는 용도다. 그러나 코드 결함으로 인해 실제 명령 실행이나 파일 편집(sudoedit) 시에도 해당 옵션이 제한 없이 사용될 수 있었다.
특정 호스트명/패턴으로 Sudo 규칙이 제한된 환경에서, 공격자는 별다른 추가 익스플로잇 없이 루트 권한을 획득할 수 있다.
2) CVE-2025-32463: chroot 옵션 권한 상승
Sudo의 -R 또는 --chroot 옵션은 사용자가 지정한 루트 디렉터리에서 명령을 실행할 수 있게 해준다. Sudo 1.9.14 버전에서 도입된 변경사항으로 인해, sudoers 파일 평가 중에도 chroot 경로가 적용되어 공격자가 임의의 공유 라이브러리를 로드하도록 Sudo를 속일 수 있다.
예를 들어, 공격자는 /etc/nsswitch.conf 파일을 chroot 경로 하위에 생성해 악성 라이브러리를 로드하게 할 수 있다(해당 파일을 지원하는 시스템 한정).
4. 영향받은 환경 및 서비스
- 기본적으로 Sudo가 설치된 대부분의 리눅스 데스크탑/서버 배포판
- macOS Sequoia 등 유닉스 계열 운영체제
- 특히, Sudo 규칙에 호스트 제한이 있거나 chroot 기능을 사용하는 환경
5. 대응 방안 및 교훈
1) Sudo 최신 버전(1.9.17p1 이상)으로 즉시 업데이트
- 각 배포판의 패키지 관리자를 통해 Sudo를 최신 버전으로 업데이트
- 우분투, 데비안, SUSE 등 주요 배포판은 이미 보안 패치 제공 중
2) Sudoers 파일 점검
- 호스트 기반 제한 규칙이 있는 경우, 불필요한 권한 부여 여부 점검
- chroot 옵션 사용 환경에서는 추가적인 보안 검토 필요
3) 시스템 모니터링 및 취약점 관리 강화
- 권한 상승 시도 및 sudo 관련 로그 모니터링
- 취약점 공개 시 신속한 패치 적용 프로세스 수립
6. 결론
Sudo는 리눅스 및 유닉스 환경에서 필수적인 권한 관리 도구로, 이번 취약점은 기본 설치 환경에서도 심각한 보안 위협이 될 수 있음을 보여준다.
모든 시스템 관리자는 Sudo를 최신 버전으로 즉시 업데이트하고, sudoers 설정을 재점검해야 한다.
앞으로도 자동화된 취약점 관리와 신속한 패치 적용이 무엇보다 중요하다.
