Una vulnerabilidad de seguridad significativa descubierta en la utilidad de sudo ampliamente utilizada ha permanecido oculta durante más de 12 años, lo que puede exponer a millones de sistemas Linux y Unix para privilegiar ataques de escalada.
La vulnerabilidad identificada como CVE-2025-32462 permite a los usuarios no autorizados obtener acceso raíz en los sistemas afectados al explotar la funcionalidad de la opción de host SUDO.
Control de llave
1. Vulnerabilidad de 12 años, CVE-2025-32462 en la opción de sudo -h ha permitido la escalada de raíz desde 2013.
2. Afecta las versiones de sudo 1.8.8-1.9.17 en sistemas Linux/UNIX, incluidos Ubuntu y MacOS.
3. Utiliza la funcionalidad incorporada para omitir las restricciones de seguridad host/host_alias.
4. Parche a sudo 1.9.17p1+ inmediatamente: no hay solución disponible.
El equipo de la Unidad de Investigación Cibernética de Stratascale (CRU) descubierto Esta falla crítica, que ha estado presente desde la implementación de la opción -h (–host) en la versión 1.8.8 de sudo, lanzada en septiembre de 2013.
Sudo Privilege Vulnerabilidad de escalada
La vulnerabilidad CVE-2025-32462 explota un defecto fundamental en cómo SUDO procesa la opción -h o -host cuando se usa con comandos distintos de la operación de lista (-l).
Si bien la documentación establece explícitamente que la opción de host solo debe funcionar “junto con la opción -l (–list)”, la vulnerabilidad permite a los actores maliciosos ejecutar comandos privilegiados al especificar reglas remotas de host que evitan las restricciones de seguridad locales.
La vulnerabilidad se dirige específicamente a los entornos utilizando directivas host o host_alias en sus archivos de configuración /etc /sudoers.
Cuando un usuario ejecuta comandos como sudo -h dev.test.local -i o sudoedit -h ci.test.local /etc /passwd, el sistema trata incorrectamente las reglas de host remotas como válidas para la máquina local, eludir efectivamente los controles de acceso previstos y otorgar privilegios raíz no autorizados.
Las versiones afectadas incluyen establo 1.9.0 a 1.9.17 y Legacy 1.8.8 a 1.8.32. La vulnerabilidad se ha verificado en Ubuntu 24.04.1 con las versiones de sudo 1.9.15p5 y 1.9.16p2, así como MacOS Sequoia 15.3.2 con sudo 1.9.13p2.
En particular, esta escalada de privilegios no requiere un código de exploit, ya que aprovecha la funcionalidad de sudo incorporada.
Una elevación reciente de la vulnerabilidad de privilegios en la función Chroot de sudo permite a cualquier usuario local no privilegiado obtener acceso a la raíz, lo que representa un riesgo de seguridad grave. Los usuarios y los administradores deben conocer y tomar las medidas necesarias.
Mitigaciones
Los administradores del sistema deben actualizarse inmediatamente a la versión 1.9.17p1 o posterior para abordar esta vulnerabilidad.
No existe una solución para este problema, lo que hace que los parches rápidos sean esenciales para mantener la seguridad del sistema. Los equipos de seguridad deben realizar auditorías completas de sus configuraciones de sudo buscando cualquier uso de opciones host o host_alias en /etc /sudoers y archivos en /etc/sudoers.d.
Para los entornos que almacenan reglas de sudo en LDAP, los administradores deben usar herramientas como LDAPSEARCH para descargar y revisar todas las reglas.
El descubrimiento destaca la importancia de las auditorías de seguridad regulares de los servicios críticos del sistema y demuestra cómo las vulnerabilidades de larga data pueden permanecer sin detectar en componentes de software ampliamente desplegados.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
