Milions de sistemes Linux i Unix s'han vist exposats a greus riscos de seguretat a causa de l'aparició de dues vulnerabilitats a Sudo, una eina fonamental que permet a usuaris executar ordres amb permisos elevats de manera controlada. Aquestes falles, identificades com CVE-2025-32462 y CVE-2025-32463, han estat analitzades i reportades recentment per experts en ciberseguretat, alertant sobre el seu impacte i la urgència d'aplicar pegats.
El descobriment ha posat en alerta administradors de sistemes i empreses, ja que Sudo és present de manera predeterminada a la majoria de distribucions GNU/Linux i sistemes similars, com macOS. Ambdós errors permeten l'escalada de privilegis des de comptes sense permisos administratius, comprometent la integritat dels equips afectats.
Què és Sudo i per què és tan important?
Sudo és una utilitat imprescindible en entorns Unix, utilitzada per executar tasques administratives sense necessitat d'iniciar sessió com a root. Aquesta eina ofereix control detallat sobre quins usuaris poden executar determinades ordres, ajudant a mantenir el principi de menor privilegi i registrant totes les accions per a la seva auditoria.
La configuració de Sudo es gestiona des del fitxer / Etc / sudoers, permetent definir regles específiques segons usuari, ordre o host, una pràctica comuna per reforçar la seguretat en grans infraestructures.
Detalls Tècnics de les Vulnerabilitats de Sudo
CVE-2025-32462: fallada a l'opció host
Aquesta vulnerabilitat portava més d'una dècada camuflada al codi de Sudo, afectant a versions estables des de la 1.9.0 fins a la 1.9.17 ia versions legacy des de la 1.8.8 fins a la 1.8.32. El seu origen rau a l'opció -h o --host, que inicialment hauria de limitar-se a llistar privilegis per a altres equips però, a causa d'una fallada de control, es pot utilitzar per executar ordres o editar fitxers com a root en el propi sistema.
El vector d'atac aprofita configuracions específiques en què es restringeixen les regles de Sudo a determinats hosts o patrons de hostname. Així, un usuari local pot enganyar el sistema simulant que executa ordres en un altre host permès i aconseguir accés root sense precisar un exploit complex.
L'explotació d'aquest bug és especialment preocupant en entorns empresarials, on les directives Host o Host_Alias són habituals per segmentar accessos. No requereix codi d'explotació addicional, només cal invocar Sudo amb l'opció -h i un host permès per eludir restriccions.
CVE-2025-32463: abús de la funció chroot
En el cas de CVE-2025-32463, la gravetat és més gran: una fallada introduïda a la versió 1.9.14 de l'any 2023 a la funció chroot permet a qualsevol usuari local executar codi arbitrari des de rutes sota el seu control, aconseguint privilegis d'administrador.
L'atac es basa en la manipulació del sistema Name Service Switch (NSS). En executar Sudo amb l'opció -R (chroot) i establir com a arrel un directori que controla l'atacant, Sudo carrega configuracions i biblioteques des d'aquest entorn manipulat. Un atacant pot forçar la càrrega duna biblioteca compartida maliciosa (per exemple, a través de /etc/nsswitch.conf fals i una llibreria preparada a l'arrel del chroot) per obtenir una shell de root al sistema. L'existència d'aquesta fallada ha estat confirmada en diferents distribucions, per la qual cosa és recomanable mantenir-se informat amb les darreres actualitzacions.
La senzillesa d'aquesta tècnica ha estat verificada en escenaris reals, usant únicament un compilador de C per crear la biblioteca i llançant l'ordre adequada amb Sudo. No es requereix sofisticació tècnica ni explotar configuracions rebuscades.
Aquestes dues vulnerabilitats han estat comprovades en versions recents d'Ubuntu, Fedora i macOS Sequoia, encara que altres distribucions podrien estar igualment afectades. Per a més protecció, és essencial aplicar les actualitzacions recomanades pels desenvolupadors.
Què han de fer els administradors i usuaris
L'única mesura efectiva és actualitzar Sudo a la versió 1.9.17p1 o més recent, ja que en aquesta edició els desenvolupadors han corregit tots dos problemes: l'opció host ha estat restringida al seu ús legítim i la funció chroot ha rebut canvis en la gestió de rutes i biblioteques. Les principals distribucions, com Ubuntu, Debian, SUSE i Red Hat, ja han publicat els pegats corresponents i els seus repositoris compten amb versions segures.
Els experts en seguretat recomanen a més auditar els fitxers /etc/sudoers y /etc/sudoers.d per localitzar possibles usos de les directives Host o Host_Alias, i per comprovar que no hi ha regles que permetin l'explotació del bug.
No hi ha solucions alternatives eficaces. En cas de no poder actualitzar immediatament, es recomana monitoritzar molt de prop els accessos i les restriccions administratives, tot i que el risc d'exposició continua sent elevat. Per conèixer més sobre les mesures i recomanacions, consulta aquesta guia sobre actualitzacions de seguretat a Linux.
Aquest incident subratlla la importància de les revisions periòdiques de seguretat i de mantenir al dia components essencials com Sudo. L'existència d'errors ocults durant més d'una dècada en una utilitat tan estesa és un recordatori fort dels perills de confiar cegament en eines d'infraestructura sense una revisió constant.
La detecció d'aquestes vulnerabilitats a Sudo subratlla la rellevància de comptar amb estratègies d'actualització i auditoria proactives.
