La Agencia de Ciberseguridad e Infraestructura (CISA) ha alertado sobre la explotación activa de la vulnerabilidad CVE-2025-32463, que afecta al comando Sudo, pieza clave en la administración de sistemas Linux y macOS.
Este fallo, con una puntuación CVSS de 9.3, permite a usuarios locales sin privilegios obtener acceso root, comprometiendo completamente la seguridad de servidores y estaciones de trabajo. Dada la importancia de Sudo en la gestión de privilegios, la amenaza ha sido añadida al catálogo KEV de CISA, lo que obliga a una acción inmediata en entornos críticos.

Detalles técnicos

  • Componente afectado: Sudo desde la versión 1.9.14.
  • Vector de ataque: manipulación del archivo /etc/nsswitch.conf en combinación con el parámetro chroot de Sudo.
  • Explotación: un atacante puede crear un nsswitch.conf controlado, engañar a Sudo mediante chroot y ejecutar comandos privilegiados, incluso sin estar listado en sudoers.

Estado actual:

  • Existen pruebas de concepto (PoC) públicas.
  • Se han detectado exploits activos en circulación.
  • Mitigación oficial: el fallo fue corregido en Sudo 1.9.17p1, donde se eliminaron las opciones comprometidas.

Impacto

El riesgo es elevado y de compromiso total:

  • Acceso root completo en sistemas afectados.
  • Exfiltración de información sensible y control de la integridad del sistema.
  • Instalación de malware o puertas traseras persistentes.
  • Posibilidad de que la vulnerabilidad se utilice como punto de partida para movimiento lateral en redes corporativas.

La combinación de una explotación confirmada, un CVSS alto y la publicación de PoCs convierte este incidente en una amenaza crítica para organizaciones de cualquier sector.

Recomendaciones

  • Actualizar de inmediato a Sudo 1.9.17p1 o superior en todos los sistemas.
  • Consultar el catálogo KEV de CISA para priorizar el parcheo en sistemas críticos.
  • Monitorizar cambios sospechosos en nsswitch.conf y uso del parámetro chroot.
  • Restringir accesos locales y aplicar políticas de privilegios mínimos.
  • Auditar configuraciones de seguridad después de la actualización para descartar vectores residuales.
  • Mantener vigilancia activa sobre indicadores de compromiso relacionados con la vulnerabilidad.

La vulnerabilidad CVE-2025-32463 en Sudo confirma que incluso herramientas fundamentales y de confianza pueden convertirse en vectores críticos de ataque. La explotación activa y la disponibilidad de PoCs reducen el margen de respuesta, lo que hace que la aplicación del parche sea una prioridad inmediata para equipos de TI y seguridad.
Mantener al día los componentes básicos del sistema y fortalecer los controles de privilegios son pasos esenciales para reducir la superficie de ataque y garantizar la resiliencia frente a futuras amenazas.

https://unaaldia.hipasec[.]com/

You May Also Like

Fallo de Apache ActiveMQ explotado en nuevos ataques de Godzilla Web Shell

HKN FEED

Google ha advertido sobre la vulnerabilidad de seguridad CVE-2024-7965 en Chrome, la cual está siendo activamente explotada.

HKN FEED

El código malicioso en XZ Utils para sistemas Linux permite la ejecución remota de código

HKN FEED