CVE-2025-32463 und CVE-2025-32462-Erkennung: Sudo-Schwachstellen zur lokalen Rechteausweitung bedrohen Linux-Umgebungen

Weniger als einen Monat nach der Veröffentlichung zweier lokaler Schwachstellen zur Privilegieneskalation (LPE) – CVE-2025-6018 und CVE-2025-6019 – die weitverbreitete Linux-Distributionen betreffen, ist eine neue Welle von Sicherheitslücken aufgetreten, die auf Linux-Systeme abzielt. Sicherheitsforscher haben zwei neue LPE-Schwachstellen entdeckt, die unter den Kennungen CVE-2025-32462 und CVE-2025-32463 verfolgt werden und die weitverbreitete Sudo-Anwendung betreffen, welche in zahlreichen Linux-Distributionen installiert ist.

Die Ausnutzung von Schwachstellen bleibt eine der primären Methoden, die Angreifer für initialen Zugriff nutzen. Im Jahr 2025 stieg der Einsatz dieser Taktik um 34 % im Vergleich zum Vorjahr und trug signifikant zu einem Anstieg von Sicherheitsverletzungen bei. Im Jahr 2025 wurden bisher über 24.500 Schwachstellen gemeldet, darunter mehr als 2.500 Schwachstellen, die verschiedene Linux-Distributionen betreffen. Obwohl diese Zahl unter der Gesamtzahl von 2024 liegt, deutet der aktuelle Enthüllungstrend darauf hin, dass die Gesamtzahl 2025 noch höher ausfallen könnte. Dies verdeutlicht die erhebliche Bedrohung durch Schwachstellen, die Privilegieneskalation ermöglichen oder vollständigen Root-Zugriff verschaffen können.

Privilegieneskalations-Schwachstellen sind auch im Jahr 2025 weiterhin ein zentrales Sicherheitsproblem. Es wurden mehrere kritische Schwachstellen gemeldet, darunter die kürzlich entdeckte CVE-2025-49144, die Notepad++ Version 8.8.1 betrifft und potenziell eine vollständige Systemkompromittierung ermöglicht. Um in dieser sich ständig wandelnden Bedrohungslandschaft die Oberhand zu behalten, sollten Verteidiger auf aktuelle Detection-Inhalte und fortschrittliche Threat-Hunting-Funktionen setzen.

Registrieren Sie sich auf der SOC Prime Platform, um Zugriff auf den globalen Feed aktiver Bedrohungen zu erhalten. Dieser bietet verwertbare Cyber Threat Intelligence (CTI) sowie kuratierte Erkennungsalgorithmen, um neu auftretende Bedrohungen bereits in der frühesten Angriffsphase proaktiv abzuwehren. Die SOC Prime Platform stellt Sicherheitsteams eine umfassende Sammlung von herstellerunabhängigen Sigma-Regeln zur Verfügung, mit denen sich Schwachstellenausnutzungen erkennen lassen – kompatibel mit verschiedensten SIEM-, EDR- und Data-Lake-Systemen. Das SOC Prime Team hat kürzlich kuratierte Sigma-Regeln veröffentlicht, um Exploit-Versuche von CVE-2025-32462 und CVE-2025-32463 sofort zu erkennen:

Possible CVE-2025-32462 Exploitation Attempt (via cmdline)

CVE-2025-32462 basiert auf einer spezifischen, aber häufig anzutreffenden Konfiguration, bei der Sudo-Regeln auf bestimmte Hostnamen oder Hostmuster beschränkt sind. Wenn diese Bedingungen erfüllt sind, ist eine Rechteausweitung auf Root ohne zusätzlichen Exploit möglich.

Suspicious Sudo Chroot Usage (Potential CVE-2025-32463 Exploit)

Diese Regel erkennt die Ausführung von Sudo --chroot unter Bezugnahme auf vom Benutzer beschreibbare Pfade – ein mögliches Anzeichen für die Ausnutzung von CVE-2025-32463, um beliebige Konfigurationsdateien wie nsswitch.conf zu laden.

Beide Erkennungen sind dem MITRE ATT&CK®-Framework zugeordnet – speziell der Taktik „Privilege Escalation“ und der Technik „Exploitation for Privilege Escalation“ (T1068). Sie enthalten außerdem relevante Metadaten. Klicken Sie auf den Button Explore Detections, um auf die dedizierten Sigma-Regeln zur Erkennung der CVE-2025-32462- und CVE-2025-32463-Exploits zuzugreifen:

Explore Detections

Um Ihr Unternehmen proaktiv vor Cyberangriffen zu schützen, die aktuelle und bereits bekannte Schwachstellen ausnutzen, nutzen Sie die vollständige Sammlung kontextangereicherter Sigma-Regeln, gefiltert über das „CVE“-Tag.

Sicherheitsingenieure können auch Uncoder AI einsetzen, um den gesamten Detection-Engineering-Prozess zu optimieren und sowohl Effizienz als auch Bedrohungsabdeckung zu verbessern. IOCs lassen sich automatisiert in individuelle Hunting-Queries umwandeln, Detection-Logik aus Echtzeit-Bedrohungsdaten per KI generieren und einsatzbereite SOC Use Cases mit KI-Prompts erstellen. Weitere Funktionen umfassen Syntax-Validierung, Feinschliff von Detection-Logik, automatische Visualisierung von Attack Flows sowie Anreicherung von Sigma-Regeln mit vollständigen ATT&CK-Techniken und Subtechniken – alles mit dem Ziel, die Genauigkeit der Detection zu steigern und Reaktionszeiten zu verkürzen.

Analyse zu CVE-2025-32463 und CVE-2025-32462

Die Cyber Research Unit von Stratascale hat kürzlich zwei LPE-Schwachstellen im Kommandozeilentool Sudo aufgedeckt, das in Unix-basierten Betriebssystemen weitverbreitet ist. Sudo ermöglicht es Nutzern ohne Root-Rechte, bestimmte Befehle mit erweiterten Rechten auszuführen, ohne sich vollständig als root anmelden zu müssen. Diese Schwachstellen (CVE-2025-32463 und CVE-2025-32462) betreffen zahlreiche große Linux-Distributionen, darunter Ubuntu und Fedora, sowie macOS Sequoia, das auf Unix-Architektur basiert.

CVE-2025-32463 ist eine kritische Schwachstelle, die mit der Option --chroot (-R) zusammenhängt. Wenn die sudoers-Richtlinie diese Option erlaubt, können Befehle innerhalb eines vom Nutzer definierten Root-Verzeichnisses ausgeführt werden.

Mit Version 1.9.14 von Sudo wurde eine Änderung eingeführt, um Pfade über chroot() aufzulösen, während die sudoers-Datei noch analysiert wurde. Dies öffnete eine Sicherheitslücke, über die ein Angreifer eine gefälschte /etc/nsswitch.conf-Datei im chroot-Verzeichnis platzieren kann. Unterstützt das System dieses Verhalten, kann Sudo dazu verleitet werden, eine manipulierte Shared Library zu laden, was zu Root-Rechten führt. Betroffen sind die Versionen 1.9.14 bis 1.9.17. Frühere Versionen sind nicht betroffen, da sie die chroot-Option nicht unterstützen.

Die zweite Sicherheitslücke, CVE-2025-32462, ist eine Schwachstelle mit niedriger Kritikalität, die seit über 12 Jahren im Sudo-Code vorhanden ist. Sie resultiert aus der fehlerhaften Durchsetzung der Option --host (-h), die eigentlich nur in Kombination mit dem Befehl --list (-l) zur Anzeige von Benutzerrechten auf einem anderen Host verwendet werden sollte. Aufgrund eines Fehlers konnte sie jedoch auch zum Ausführen von Befehlen oder Bearbeiten von Dateien missbraucht werden.

Die Schwachstelle ist ausnutzbar, wenn Sudo-Regeln auf bestimmte Hostnamen oder Muster beschränkt sind. In solchen Fällen kann es zur Privilegieneskalation auf Root-Ebene kommen – ohne dass ein ausgefeilter Exploit erforderlich wäre. Betroffen sind stabile (v1.9.0–1.9.17) und ältere (v1.8.8–1.8.32) Versionen von Sudo.

Da es derzeit keine Workarounds für diese Schwachstellen gibt, empfehlen Sicherheitsexperten dringend ein Update auf Sudo-Version 1.9.17p1, um CVE-2025-32463 und CVE-2025-32462 zu beheben. Dieses Release adressiert beide Schwachstellen. Da Sudo standardmäßig in den meisten Linux-Distributionen enthalten ist, sollten Nutzer sicherstellen, dass ihre Systeme die neuesten Patches erhalten haben. Große Distributionen wie Ubuntu, Debian und SUSE haben bereits entsprechende Sicherheitsupdates veröffentlicht.

Angesichts des Anstiegs lokaler Privilegieneskalations-Schwachstellen und der wachsenden Gefahr von Ausnutzungen in Linux-Systemen ist es entscheidend, dass Verteidiger wachsam bleiben und Sicherheitsupdates zeitnah einspielen. Proaktive Bedrohungserkennung und zukunftssichere Strategien zur Verteidigungsstärkung sind unerlässlich, um die Angriffsfläche zu minimieren. Die Nutzung der vollständigen Produkt-Suite von SOC Prime – unterstützt durch KI, Automatisierung und Echtzeit-CTI – gibt Organisationen die Möglichkeit, Cyberbedrohungen einen Schritt voraus zu sein.