【资安日报】7月7日,Linux命令列工具Sudo修补两项权限提升漏洞

这周末有数则漏洞修补的消息,其中尤以Sudo发布新版的消息相当值得留意,开发团队这次一共修补两项漏洞,但特别的是,其中一项危险程度仅有2.3分的低风险漏洞引发关注,因为从12年前发布的版本都受到影响,而有可能影响相当广泛。

而在这段期间发生的资安事故当中,Apache Tomcat、Camel漏洞利用的攻击活动相当值得留意,再者,由于先前有

今年3月,Apache基金会发布Java应用程式伺服器Tomcat、中介软体Camel的资安公告,揭露Tomcat远端程式码执行(RCE)暨资讯泄露漏洞CVE-2025-24813(CVSS风险为9.8分),以及Camel远端程式码执行漏洞CVE-2025-27636与CVE-2025-29891(风险值5.6、4.8),同月下旬资安业者Wallarm警告,CVE-2025-24813被公开30个小时后,就出现概念验证程式码(PoC),很快就会出现实际攻击,如今有其他资安业者证实这样的现象成真。

最近有一份调查报告揭露上述3项漏洞遭到利用的迹象,指出在Apache基金会发布修补程式、研究人员公开概念验证程式码不久,就出现大规模的漏洞扫描,骇客试图寻找存在漏洞的Tomcat与Camel主机下手。

揭露此事的资安业者Palo Alto Networks指出,他们在3月份一共拦截125,856次相关的探测、扫描,或是尝试利用漏洞的行为。这些攻击活动来自超过70个国家,在3月中旬这些漏洞公开后就随即大幅增加,并在一周之后达到高峰。对此,他们呼吁IT人员,要尽速套用更新程式。

根据资安新闻网站BleepingComputer报导,有人在地下网站公布了取得了Telefonica公司档案及客户资料,档案大小高达106 GB,还扬言若不理会将全数公开。

这名代号Rey的骇客自称是Hellcat勒索软体的一员,该组织在5月底成功骇入Telefonica公司网路进行活动,并外传资料了12小时之久,直到被切断存取为止。Rey告诉媒体,他们是利用Jira配置不当的问题,成功存取了这家电信公司的内部系统。最后,骇客一共取得了106.3 GB超过38万份档案,内容涵括内部通讯如工单、电子邮件、采购单、内部系统记录、客户资料和员工资讯等。

媒体在6月初多次联系Telefonica多个部门、公司高层,但都没有接获回应,唯一回应的Telefonica O2员工则透露,这批是骇客以前外泄的资料。

网路情报平台Silent Push日前披露,中国骇客正在仿冒墨西哥的各种热门品牌,并建置基于英文及西班牙文的钓鱼网站,以骗取消费者的Google Pay或是信用卡资讯,迄今仍有数千个钓鱼网站存活。

一名墨西哥记者Ignacio Gómez Villaseñor先是在今年5月底发现并报导此事,当时他找到了逾700个伪装成各种品牌的网钓网站,而且它们都来自同一个IP。

Silent Push接著对此展开了调查,发现骇客冒充的对象涵盖Apple、Harbor Freight Tools、Hermes、Michael Kors、REI、PayPal、Wayfair及Wrangler Jeans等知名品牌,使用以假乱真的网址,通常只是小小的拼写错误,但盗用了官网的图片与设计,企图诱拐消费者购买并输入信用卡资讯。

其他攻击与威胁

Linux用户对于权限提升的命令列工具Sudo应该不陌生,此工具能允许通过授权的用户以其他使用者身分执行命令,其中最常见的使用场景,就是用来执行需要root的权限工作,使用者能在无须存取root帐号的情况下达到目的,并留下系统事件记录以供稽核,一旦这类工具存在弱点,很有可能成为攻击者取得特殊权限的管道。

6月底Sudo开发团队发布1.9.17p1版,修补本机权限提升漏洞CVE-2025-32462、CVE-2025-32463,其中一个影响范围超过12年版本的Sudo;另一个则是危险程度达到重大层级,相当危险。通报上述漏洞的资安业者Stratascale强调,目前没有缓解这些弱点的措施,用户应尽速安装新版Sudo因应。

根据CVSS风险评分,较为危险的是评为重大层级的CVE-2025-32463,这项弱点与Sudo的-R(或–chroot)选项有关,一旦遭到利用,攻击者就能以root身分执行任意命令,CVSS风险达到9.3分,影响1.9.14以上版本的Sudo。另一项是风险值仅有2.3分,但已存在超过12年的资安漏洞CVE-2025-32462,此漏洞也同样不能轻忽,原因是Sudo的组态档案只要符合指定的条件,攻击者无须手动触发,就能将权限提升为root。

德国资安业者ERNW在Troppers资安会议上揭露,由联发科子公司达发科技(Airoha)所设计的蓝牙音讯系统单晶片(SoC)中含有3个安全漏洞,将允许骇客控制采用该晶片的装置,像是耳机、喇叭或无线麦克风等,波及Bose、Sony、Jabra、JBL与Marshall等知名品牌的音讯装置。Airoha已于今年6月初借由更新SDK修补了相关漏洞。

研究人员Dennis Heinze与Frieder Steinmetz解释,这些采用Airoha解决方案的装置曝露强大的专属通讯协定,允许第三方读写随机存取记忆体或快闪记忆体以控制装置(CVE-2025-20702),且该协定在没有身分验证的情况下,就能透过低功耗蓝牙的GATT介面(CVE-2025-20700),以及传统蓝牙的RFCOMM通道(CVE-2025-20701)存取。

上述漏洞让骇客只要位在蓝牙范围内,不必经过身分验证或配对,就能透过传统蓝牙或低功耗蓝牙展开攻击,包括完全控制蓝牙耳机,读写装置的记忆体,或是劫持受害装置与其它装置的信任关系,进行窃听,窃取手机号码与通讯纪录,也能根据手机配置以获取联络人资讯,还具备蠕虫式传播潜力。

 

【资安产业动态】