CVE-2025-32463 und CVE-2025-32462: Sudo-Schwachstellen zur Privilegieneskalation bedrohen Linux-Umgebungen

Weniger als einen Monat nach der Veröffentlichung zweier lokaler Schwachstellen zur Privilegieneskalation (LPE) – CVE-2025-6018 und CVE-2025-6019 – die weitverbreitete Linux-Distributionen betreffen, ist eine neue Welle von Sicherheitslücken aufgetreten, die auf Linux-Systeme abzielt. Sicherheitsforscher haben zwei neue LPE-Schwachstellen entdeckt, die unter den Kennungen CVE-2025-32462 und CVE-2025-32463 verfolgt werden und die weitverbreitete Sudo-Anwendung betreffen, welche in zahlreichen Linux-Distributionen installiert ist.
Die Ausnutzung von Schwachstellen bleibt eine der primären Methoden, die Angreifer für initialen Zugriff nutzen. Im Jahr 2025 stieg der Einsatz dieser Taktik um 34 % im Vergleich zum Vorjahr und trug signifikant zu einem Anstieg von Sicherheitsverletzungen bei. Im Jahr 2025 wurden bisher über 24.500 Schwachstellen gemeldet, darunter mehr als 2.500 Schwachstellen, die verschiedene Linux-Distributionen betreffen. Obwohl diese Zahl unter der Gesamtzahl von 2024 liegt, deutet der aktuelle Enthüllungstrend darauf hin, dass die Gesamtzahl 2025 noch höher ausfallen könnte. Dies verdeutlicht die erhebliche Bedrohung durch Schwachstellen, die Privilegieneskalation ermöglichen oder vollständigen Root-Zugriff verschaffen können.
Privilegieneskalations-Schwachstellen sind auch im Jahr 2025 weiterhin ein zentrales Sicherheitsproblem. Es wurden mehrere kritische Schwachstellen gemeldet, darunter die kürzlich entdeckte CVE-2025-49144, die Notepad++ Version 8.8.1 betrifft und potenziell eine vollständige Systemkompromittierung ermöglicht. Um in dieser sich ständig wandelnden Bedrohungslandschaft die Oberhand zu behalten, sollten Verteidiger auf aktuelle Detection-Inhalte und fortschrittliche Threat-Hunting-Funktionen setzen.
Registriere dich auf der SOC Prime Plattform, um Zugriff auf den globalen Feed aktiver Bedrohungen zu erhalten. Dieser bietet verwertbare CTI-Daten und kuratierte Detection-Algorithmen zur proaktiven Erkennung neuer Bedrohungen in frühen Angriffsphasen. Die Plattform stellt Sicherheitsteams eine umfassende Sammlung herstellerunabhängiger Sigma-Regeln zur Verfügung, die in verschiedensten SIEM-, EDR- und Data-Lake-Systemen eingesetzt werden können. Alle relevanten Detections sind mit dem MITRE ATT&CK® Framework verknüpft und enthalten umfangreiche Metadaten. Klicke auf den Button Detections erkunden, um Sigma-Regeln zu aktuellen Schwachstellen anhand des „CVE“-Tags zu filtern.
Sicherheitsingenieure können auch Uncoder AI einsetzen, um den gesamten Detection-Engineering-Prozess zu optimieren und sowohl Effizienz als auch Bedrohungsabdeckung zu verbessern. IOCs lassen sich automatisiert in individuelle Hunting-Queries umwandeln, Detection-Logik aus Echtzeit-Bedrohungsdaten per KI generieren und einsatzbereite SOC Use Cases mit KI-Prompts erstellen. Weitere Funktionen umfassen Syntax-Validierung, Feinschliff von Detection-Logik, automatische Visualisierung von Attack Flows sowie Anreicherung von Sigma-Regeln mit vollständigen ATT&CK-Techniken und Subtechniken – alles mit dem Ziel, die Genauigkeit der Detection zu steigern und Reaktionszeiten zu verkürzen.
Analyse zu CVE-2025-32463 und CVE-2025-32462
Die Cyber Research Unit von Stratascale hat kürzlich zwei LPE-Schwachstellen im Kommandozeilentool Sudo aufgedeckt, das in Unix-basierten Betriebssystemen weitverbreitet ist. Sudo ermöglicht es Nutzern ohne Root-Rechte, bestimmte Befehle mit erweiterten Rechten auszuführen, ohne sich vollständig als root anmelden zu müssen. Diese Schwachstellen (CVE-2025-32463 und CVE-2025-32462) betreffen zahlreiche große Linux-Distributionen, darunter Ubuntu und Fedora, sowie macOS Sequoia, das auf Unix-Architektur basiert.
CVE-2025-32463 ist eine kritische Schwachstelle, die mit der Option --chroot
(-R)
zusammenhängt. Wenn die sudoers-Richtlinie diese Option erlaubt, können Befehle innerhalb eines vom Nutzer definierten Root-Verzeichnisses ausgeführt werden.
Mit Version 1.9.14 von Sudo wurde eine Änderung eingeführt, um Pfade über chroot()
aufzulösen, während die sudoers-Datei noch analysiert wurde. Dies öffnete eine Sicherheitslücke, über die ein Angreifer eine gefälschte /etc/nsswitch.conf
-Datei im chroot-Verzeichnis platzieren kann. Unterstützt das System dieses Verhalten, kann Sudo dazu verleitet werden, eine manipulierte Shared Library zu laden, was zu Root-Rechten führt. Betroffen sind die Versionen 1.9.14 bis 1.9.17. Frühere Versionen sind nicht betroffen, da sie die chroot-Option nicht unterstützen.
Die zweite Sicherheitslücke, CVE-2025-32462, ist eine Schwachstelle mit niedriger Kritikalität, die seit über 12 Jahren im Sudo-Code vorhanden ist. Sie resultiert aus der fehlerhaften Durchsetzung der Option --host (-h)
, die eigentlich nur in Kombination mit dem Befehl --list (-l)
zur Anzeige von Benutzerrechten auf einem anderen Host verwendet werden sollte. Aufgrund eines Fehlers konnte sie jedoch auch zum Ausführen von Befehlen oder Bearbeiten von Dateien missbraucht werden.
Die Schwachstelle ist ausnutzbar, wenn Sudo-Regeln auf bestimmte Hostnamen oder Muster beschränkt sind. In solchen Fällen kann es zur Privilegieneskalation auf Root-Ebene kommen – ohne dass ein ausgefeilter Exploit erforderlich wäre. Betroffen sind stabile (v1.9.0–1.9.17) und ältere (v1.8.8–1.8.32) Versionen von Sudo.
Da es derzeit keine Workarounds für diese Schwachstellen gibt, empfehlen Sicherheitsexperten dringend ein Update auf Sudo-Version 1.9.17p1, um CVE-2025-32463 und CVE-2025-32462 zu beheben. Dieses Release adressiert beide Schwachstellen. Da Sudo standardmäßig in den meisten Linux-Distributionen enthalten ist, sollten Nutzer sicherstellen, dass ihre Systeme die neuesten Patches erhalten haben. Große Distributionen wie Ubuntu, Debian und SUSE haben bereits entsprechende Sicherheitsupdates veröffentlicht.
Angesichts des Anstiegs lokaler Privilegieneskalations-Schwachstellen und der wachsenden Gefahr von Ausnutzungen in Linux-Systemen ist es entscheidend, dass Verteidiger wachsam bleiben und Sicherheitsupdates zeitnah einspielen. Proaktive Bedrohungserkennung und zukunftssichere Strategien zur Verteidigungsstärkung sind unerlässlich, um die Angriffsfläche zu minimieren. Die Nutzung der vollständigen Produkt-Suite von SOC Prime – unterstützt durch KI, Automatisierung und Echtzeit-CTI – gibt Organisationen die Möglichkeit, Cyberbedrohungen einen Schritt voraus zu sein.