Este aviso de seguridad tiene como objetivo informar sobre la identificación de dos vulnerabilidades críticas de escalada de privilegios locales en la utilidad sudo, una herramienta fundamental para la gestión de permisos en sistemas operativos basados en Linux. La explotación exitosa de estos fallos permite a un atacante local sin privilegios obtener control total del sistema a nivel de raíz (root). Dada la generalidad de sudo en entornos de servidor y estaciones de trabajo, se requiere una acción inmediata por parte de los administradores de sistemas para aplicar los parches correspondientes y prevenir accesos no autorizados.

A continuación, se resumen los puntos clave de este aviso:

• Vulnerabilidades: se han identificado dos fallos de seguridad distintos, catalogados como CVE-2025-32463 y CVE-2025-32462.
• Impacto principal: un atacante con acceso local de bajos privilegios puede explotar estas vulnerabilidades para ejecutar comandos arbitrarios con permisos de root, comprometiendo por completo la confidencialidad, integridad y disponibilidad del sistema.
• Sistemas afectados: las versiones de sudo desde la 1.9.14 hasta la 1.9.17 inclusive son vulnerables a CVE-2025-32463, mientras que todas las versiones anteriores a la 1.9.17p1 son vulnerables a CVE-2025-32462.
• Solución crítica: no existen contramedidas temporales efectivas. La única mitigación definitiva es la actualización inmediata del paquete sudo a una versión parcheada proporcionada por el proveedor de la distribución.

Descripción técnica de las vulnerabilidades

Comprender los mecanismos técnicos de estas vulnerabilidades es fundamental para que los administradores de sistemas puedan evaluar el riesgo específico en sus entornos y la urgencia de la respuesta. Ambos fallos, aunque distintos en su origen, conducen al mismo resultado final: la obtención de privilegios de root por parte de un usuario no autorizado.

CVE-2025-32463: escalada de privilegios vía opción sudo chroot

Esta vulnerabilidad, que afecta a las versiones de sudo desde la 1.9.14 hasta la 1.9.17 inclusive, se origina en el manejo de la opción --chroot (-R). El fallo fue introducido en sudo 1.9.14 cuando una modificación en el código provocó que la resolución de rutas se realizara dentro del directorio chroot especificado por el usuario antes de que la política de seguridad del archivo sudoers fuera completamente evaluada. Esta alteración del orden de operaciones creó una condición de carrera lógica entre la entrada del usuario y la validación de seguridad.

Un atacante puede explotar esta condición para forzar a sudo a cargar un archivo /etc/nsswitch.conf malicioso desde un directorio controlado por él. Al manipular el sistema de conmutación de servicios de nombres (NSS) del sistema, el atacante obliga a sudo a cargar bibliotecas compartidas arbitrarias (.so) con los privilegios de root con los que se ejecuta el proceso sudo. Esto resulta en una escalada de privilegios completa y la ejecución de código arbitrario. Esta vulnerabilidad es particularmente peligrosa porque puede ser explotada incluso con una configuración por defecto de sudo y sin requerir permisos especiales preexistentes para el usuario atacante.

CVE-2025-32462: escalada de privilegios vía opción sudo host

Esta vulnerabilidad se debe a un error en el manejo de la opción --host (-h). Dicha opción está diseñada para ser utilizada junto con --list (-l) para permitir a un usuario ver sus privilegios de sudo en un host diferente al actual. Sin embargo, un fallo en la implementación no restringía correctamente el uso de la opción --host únicamente a la enumeración de privilegios.

El impacto de esta vulnerabilidad es más significativo en configuraciones que utilizan reglas por host en el archivo sudoers. En dichos entornos, un atacante local podría eludir las restricciones de host para ejecutar comandos o editar archivos con sudoedit, obteniendo privilegios elevados que no le corresponderían.

Habiendo detallado los mecanismos de explotación, es crucial evaluar las consecuencias operativas y la gravedad asignada a estos fallos.

Análisis de impacto y gravedad

El impacto de una vulnerabilidad no se mide únicamente por su mecanismo técnico, sino por su potencial de daño operativo. Este potencial se cuantifica mediante sistemas de puntuación estandarizados como el Common Vulnerability Scoring System (CVSS), que proporciona una medida objetiva de la gravedad.

Una explotación exitosa de cualquiera de estas vulnerabilidades otorga a un atacante control total del sistema afectado. Esto le permitiría robar datos sensibles, instalar software malicioso persistente (como rootkits o ransomware), desactivar los controles de seguridad y utilizar el sistema comprometido como plataforma para lanzar ataques contra otros recursos de la red interna. La vulnerabilidad CVE-2025-32463 es especialmente peligrosa, ya que puede ser explotada por cualquier usuario local con una configuración por defecto de sudo, sin necesidad de permisos especiales preexistentes.

Puntuaciones (CVSS)

Las siguientes puntuaciones CVSS v3.1 han sido asignadas por diversas entidades de seguridad, reflejando la alta gravedad de estos fallos.

CVE-2025-32463

NVD / Amazon / SUSE: 7.8 (Alta) CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVE-2025-32463

INCIBE: 9.3 (Crítica) CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVE-2025-32462

SUSE: 7.0 (Alta) CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

La diferencia en las puntuaciones para CVE-2025-32463 subraya una distinción crítica en la evaluación del riesgo. La puntuación "Crítica" de 9.3 de INCIBE se basa en que no se requieren privilegios previos (PR:N), considerando que cualquier cuenta de usuario local es suficiente. En contraste, la puntuación "Alta" de 7.8 de NVD y SUSE asume que una cuenta de usuario local constituye un nivel bajo de privilegios (PR:L). Ambas evaluaciones confirman la gravedad de la vulnerabilidad y el bajo umbral de acceso requerido para su explotación.

La gravedad de estas vulnerabilidades hace imperativo identificar qué sistemas específicos son vulnerables para priorizar su remediación.

Sistemas y versiones afectadas

La planificación de la remediación requiere una identificación precisa de los activos vulnerables. A continuación, se detallan las versiones específicas de sudo y el estado de las principales distribuciones de Linux afectadas por estas vulnerabilidades.

Versiones vulnerables de sudo

• CVE-2025-32463: afecta a las versiones de sudo desde la 1.9.14 hasta la 1.9.17 inclusive.
• CVE-2025-32462: afecta a todas las versiones de sudo anteriores a la 1.9.17p1.

Estado por distribución de Linux

Los principales proveedores de sistemas operativos Linux han publicado avisos y parches. Se resume el estado a continuación:

• Ubuntu:
  • Según el aviso USN-7604-1, CVE-2025-32463 solo afecta a las versiones 24.04 LTS, 24.10 y 25.04. Sin embargo, la actualización es crítica para todas las versiones listadas, ya que CVE-2025-32462 afecta también a versiones anteriores como 22.04 LTS.
  • Versiones corregidas:
    • 22.04 LTS (jammy): 1.9.9-1ubuntu2.5
    • 24.04 LTS (noble): 1.9.15p5-3ubuntu5.24.04.1
    • 24.10 (oracular): 1.9.15p5-3ubuntu5.24.10.1
    • 25.04 (plucky): 1.9.16p2-1ubuntu1.1
• Debian:
  • Versiones corregidas:
    • bullseye (11): 1.9.5p2-3+deb11u2
    • bookworm (12): 1.9.13p3-1+deb12u2
    • trixie (13): 1.9.16p2-3
    • sid (unstable): 1.9.17p2-1
  • Aunque se han publicado parches, las notas de seguridad de Debian indican que bullseye y bookworm no eran vulnerables a CVE-2025-32463, ya que el código vulnerable se introdujo en una versión posterior de sudo.
• SUSE / openSUSE:
  • Versiones corregidas:
    • SUSE Linux Enterprise 15 SP6 y openSUSE Leap 15.6: 1.9.15p5-150600.3.9.1
    • Tumbleweed: 1.9.17p1-1.1
• Amazon Linux:
  • Amazon Linux 1: no recibirá parche
  • Amazon Linux 2: no está afectado.
  • Amazon Linux 2023: ha sido corregido.
• Gentoo:
  • El problema está resuelto en la versión app-admin/sudo-1.9.17_p1.

Una vez identificados los sistemas vulnerables, el siguiente paso es aplicar las medidas de mitigación necesarias.

Acciones de mitigación inmediatas

Dada la gravedad de estas vulnerabilidades y la facilidad de explotación de CVE-2025-32463, la mitigación debe ser la máxima prioridad para todos los administradores de sistemas Linux. La única solución recomendada y efectiva es la actualización del paquete sudo a una versión parcheada. No existen contramedidas temporales que puedan prevenir la explotación de forma fiable. Es importante destacar que la versión parcheada 1.9.17p1 no solo corrige la vulnerabilidad, sino que también deprecia la funcionalidad --chroot por completo debido a su naturaleza intrínsecamente propensa a errores, eliminando así este vector de ataque para el futuro.

Instrucciones de actualización

Se recomienda a los administradores que utilicen el gestor de paquetes de su distribución para aplicar la actualización de seguridad lo antes posible. A continuación, se proporcionan los comandos de actualización sugeridos para las distribuciones más comunes.

• Debian / Ubuntu
  • sudo apt update && sudo apt upgrade
• SUSE / openSUSE
  • sudo zypper patch
• Red Hat / Fedora / Amazon Linux
  • sudo dnf update (o sudo yum update)
• Gentoo
  • sudo emerge --sync && sudo emerge --ask --oneshot --verbose ">=app-admin/sudo-1.9.17_p1"

Luego de ejecutar el comando de actualización, se recomienda verificar la versión del paquete sudo instalado para confirmar que la mitigación se ha aplicado correctamente y que el sistema ya no es vulnerable.

Fuentes:

• https://www.stratascale.com/vulnerability-alert-CVE-2025-32463-sudo-chroot
• https://www.stratascale.com/vulnerability-alert-CVE-2025-32462-sudo-host
• https://www.openwall.com/lists/oss-security/2025/06/30/3
• https://nvd.nist.gov/vuln/detail/CVE-2025-32463
• https://ubuntu.com/security/notices/USN-7604-1
• https://www.suse.com/support/update/announcement/2025/suse-su-202502177-1/
• https://security-tracker.debian.org/tracker/CVE-2025-32463