Acceder Suscribirse
2 min read

Vulnerabilidades de Escalada de Privilegios en Sudo en LINUX

Vulnerabilidades de Escalada de Privilegios en Sudo en LINUX
Photo by Gabriel Heinzer / Unsplash

Se han identificado dos vulnerabilidades críticas (CVE-2025-32462 y CVE-2025-32463) en la utilidad sudo, presente en sistemas Unix/Linux y macOS. Estas permiten a usuarios locales sin privilegios ejecutar código arbitrario como root o eludir restricciones de seguridad, comprometiendo toda la infraestructura afectada. Los ataques son explotables en configuraciones comunes y ya se verificaron en distribuciones como Ubuntu, Fedora y macOS Sequoia.

Detalles Técnicos de las Vulnerabilidades

1. CVE-2025-32463 (CVSS 9.3, Crítica)

  • Mecanismo: Abuso de la opción -R (--chroot) para cargar bibliotecas maliciosas desde directorios controlados por el atacante.
  • Explotación:
    • Un atacante local crea un entorno chroot falso con un archivo /etc/nsswitch.conf modificado.
    • Al ejecutar sudo -R <directorio_malicioso> <comando>, sudo carga una biblioteca maliciosa (ej. libnss_*.so), otorgando acceso root .
  • Impacto: Ejecución remota de código (RCE) con privilegios de superusuario.
  • Versiones afectadas: Sudo 1.9.14 a 1.9.17 (todas las revisiones) .

2. CVE-2025-32462 (CVSS 2.8, Baja)

  • Mecanismo: Fallo en la opción -h (--host) que elude restricciones del archivo sudoers.
  • Explotación:
    • Con reglas de sudoers que especifican hosts (ej: Host_Alias), un usuario puede ejecutar comandos como root usando sudo -h <host_permitido> <comando> .
  • Impacto: Ejecución no autorizada de comandos privilegiados en el sistema local.
  • Versiones afectadas: Sudo 1.8.8 a 1.9.17 (presente durante 12 años) .

Sistemas Afectados

Componente Versiones Vulnerables Plataformas
Sudo Estable 1.9.0 – 1.9.17 Linux (Ubuntu, Fedora, Debian, etc.), macOS
Sudo Legacy 1.8.8 – 1.8.32 Linux (solo CVE-2025-32462)

Riesgos para la Comunidad Universitaria

  • Toma de control de servidores: Acceso root a sistemas críticos (laboratorios, bases de datos, servidores académicos).
  • Robo de datos confidenciales: Exfiltración de investigaciones, expedientes estudiantiles o credenciales administrativas.
  • Propagación de malware: Infección de redes internas mediante ransomware o backdoors .

Recomendaciones del CSIRT-UC

🔒 Actualización Urgente

    • Verifique la versión segura (≥1.9.17p1) con sudo --version .
  • macOS: Actualizar a macOS Sequoia 15.1.1 o superior (parche incluido) .

Distribuciones Linux:

# Debian/Ubuntu
sudo apt update && sudo apt upgrade sudo

# Red Hat/CentOS/Fedora
sudo dnf update sudo

# openSUSE
sudo zypper update sudo

⚠️ Contramedidas Temporales

  • Restrinja el acceso sudo:
    • Revise /etc/sudoers con visudo y elimine reglas que usen Host_Alias o Host (para mitigar CVE-2025-32462) .
    • Deshabilite la opción chroot en entornos de alto riesgo.
  • Monitoreo proactivo:
    • Audite logs de autenticación (/var/log/auth.log o journalctl -u sudo) para detectar uso anómalo de -h o -R .

🔍 Detección de Explotación

  • Verificación de integridad: Use herramientas como tripwire para alertar cambios en /etc/nsswitch.conf o bibliotecas de sistema.

Comandos sospechosos: Busque en logs:

grep -E "sudo.*(-h |--host|-R|--chroot)" /var/log/auth.log

Respuesta ante Incidentes

Si detecta actividades sospechosas:

Reporte al CSIRT-UC: Envíe evidencia (logs, procesos) a 📧 sysadmin@uc.edu.py

Referencias Técnicas