Se ha revelado una vulnerabilidad de seguridad crítica en la utilidad de Linux de Linux ampliamente utilizada, lo que permite a cualquier usuario local no privilegiado aumentar los privilegios para el acceso a la raíz.
Resumen
1. CVE-2025-32463 afecta las versiones de sudo 1.9.14-1.9.17, lo que permite la escalada de privilegios a la raíz.
2. Explotación utiliza la opción Chroot (-R) para manipular el sistema NSS y cargar bibliotecas maliciosas.
3. El impacto afecta las configuraciones predeterminadas en Ubuntu, Fedora y otras distribuciones importantes de Linux.
4. La solución requiere una actualización inmediata a sudo 1.9.17p1 o posterior: no hay solución disponible.
La vulnerabilidad, rastreada como CVE-2025-32463, afecta las versiones de sudo 1.9.14 a 1.9.17 y plantea una amenaza significativa para los sistemas de Linux que ejecutan configuraciones predeterminadas.
Defecto de escalada de privilegio raíz
La vulnerabilidad fue descubierta por Rich Mirch de la Unidad de Investigación Cibernética de Stratascale (CRU) y se centra en la opción Chroot raramente usada (-R o -Chroot) en sudo.
Esta vulnerabilidad es particularmente peligrosa porque no requiere que las reglas de sudo se definan para el usuario atacante, lo que significa que incluso los usuarios sin privilegios administrativos pueden explotarlo.
La falla se introdujo en sudo v1.9.14 en junio de 2023 con actualizaciones al código de manejo de coincidencia de comandos cuando se usa la función Chroot.
La vulnerabilidad permite a los usuarios no privilegiados invocar chroot () en rutas escritas y no confiables bajo su control, que sudo se ejecuta con la autoridad raíz.
Esto crea una violación de seguridad cuando se activan las operaciones del interruptor de servicio de nombre (NSS), lo que hace que el sistema cargue /etc/nsswitch.conf Configuración desde el entorno no confiable.
La técnica de explotación implica manipular el sistema NSS (interruptor de servicio de nombre) colocando un archivo malicioso /etc/nsswitch.conf en un entorno de chroot controlado.
Los atacantes pueden especificar fuentes NSS personalizadas que se traducen en bibliotecas de objetos compartidos (por ejemplo, libnss_/woot1337.so.2), que sudo se carga con privilegios raíz.
La explotación de prueba de concepto demuestra esto mediante la creación de un objeto compartido malicioso con una función de constructor que llama a SetReuid (0,0) y Setregid (0,0) para obtener privilegios raíz, luego ejecuta /bin /bash para proporcionar un shell raíz.
El código de exploit muestra cómo un simple comando GCC -shared -FPIC puede compilar la biblioteca maliciosa que se carga durante las operaciones NSS de Sudo.
Factores de riesgo DeteaLSefected Products: Cuenta de usuario local (sin invitar)- Acceso a directorio de escritura- No se requieren permisos de SUDO existentes- Configuración de sudo predeterminada suficiente Impacto de privilegio de privilegios de privilegio a RootexPloit Requisitos previos- Cuenta de usuario local (no invivilizado)- Acceso a directorio de WRitable Director de Writable- No se requiere permisos de sudo existentes- Configuración predeterminada de SUDO suficiente CUENTA ESCUENTES 3.1 CUENTA) CONTRACIÓN).
Mitigaciones
Los investigadores de seguridad tienen verificado La vulnerabilidad en Ubuntu 24.04.1 con sudo 1.9.15p5 y 1.9.16p2, así como el servidor Fedora 41 con sudo 1.9.15p5.
La vulnerabilidad afecta la configuración de sudo predeterminada, por lo que es una amenaza generalizada que requiere atención inmediata.
La solución está disponible en sudo 1.9.17p1 o versiones posteriores, donde la opción Chroot se ha desaprobado y se han eliminado las funciones vulnerables PIVOT_ROOT () e Unpivot_root ().
Se recomienda encarecidamente a los administradores del sistema que actualicen sus paquetes de sudo de inmediato, ya que no existe una solución para esta vulnerabilidad crítica.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
