CVE-2025-32463 y CVE-2025-32462: Detección de vulnerabilidades de escalada de privilegios en Sudo que amenazan entornos Linux
Tras la divulgación de dos vulnerabilidades locales de escalada de privilegios (LPE), CVE-2025-6018 y CVE-2025-6019, hace menos de un mes y que afectan a principales distribuciones de Linux, ha surgido recientemente una nueva oleada de fallos de seguridad que tienen como objetivo los sistemas Linux. Investigadores de seguridad han identificado dos vulnerabilidades de escalada de privilegios locales, registradas como CVE-2025-32462 y CVE-2025-32463, que afectan a la ampliamente utilizada utilidad Sudo instalada en diversas distribuciones de Linux.
La explotación de vulnerabilidades sigue siendo uno de los principales métodos que utilizan los atacantes para obtener acceso inicial. En 2025, el uso de esta táctica aumentó un 34% en comparación con el año anterior, contribuyendo a un incremento notable en las brechas de seguridad. Más de 24,500 vulnerabilidades se han divulgado hasta ahora en 2025, con más de 2,500 problemas reportados que afectan a distintas distribuciones de Linux. Aunque esta cifra es inferior al total de fallos de seguridad registrados en 2024, el ritmo actual de divulgaciones indica que el número total de 2025 podría superar el del año anterior. Este aumento refleja una considerable exposición a amenazas potenciales, incluyendo vulnerabilidades que pueden permitir escaladas de privilegios o acceso total como root.
Las vulnerabilidades de escalada de privilegios siguen siendo una preocupación importante en 2025, con múltiples fallos críticos recientes, incluyendo el recientemente divulgado CVE-2025-49144, que afecta a Notepad++ versión 8.8.1 y podría conducir a una completa toma del sistema. Para anticiparse en este panorama de amenazas en constante evolución, los defensores deben apoyarse en contenido de detección actualizado y capacidades avanzadas de caza de amenazas.
Regístrate en la plataforma SOC Prime para acceder al feed global de amenazas activas, que ofrece inteligencia de amenazas procesable (CTI) y algoritmos de detección seleccionados para contrarrestar de forma proactiva amenazas emergentes desde las primeras etapas del ataque. La plataforma SOC Prime equipa a los equipos de seguridad con una colección integral de reglas Sigma independientes del proveedor para la detección de explotación de vulnerabilidades, desplegables en diversos entornos SIEM, EDR y Data Lake. El equipo de SOC Prime ha lanzado recientemente reglas Sigma seleccionadas para detectar de inmediato intentos de explotación de CVE-2025-32462 y CVE-2025-32463:
Possible CVE-2025-32462 Exploitation Attempt (via cmdline)
CVE-2025-32462 se basa en una configuración específica pero común, donde las reglas de Sudo están restringidas a determinados nombres de host o patrones de nombre. Si se cumplen estas condiciones, la escalada de privilegios a root no requiere explotación adicional.
Suspicious Sudo Chroot Usage (Potential CVE-2025-32463 Exploit)
Esta regla detecta la ejecución de Sudo --chroot haciendo referencia a rutas editables por el usuario, lo que podría indicar un abuso de CVE-2025-32463 para cargar archivos de configuración arbitrarios como nsswitch.conf.
Ambas detecciones están mapeadas al marco MITRE ATT&CK®, abordando la táctica de Escalada de Privilegios y la técnica correspondiente de Explotación para Escalada de Privilegios (T1068), y se enriquecen con metadatos relevantes. Haz clic en el botón Explorar detecciones a continuación para acceder a las reglas Sigma dedicadas a la detección de exploits de CVE-2025-32462 y CVE-2025-32463:
Para defender proactivamente tu organización frente a ciberataques que aprovechan vulnerabilidades actuales y conocidas, confía en la colección completa de reglas Sigma con contexto enriquecido, filtradas mediante la etiqueta “CVE”.
Los ingenieros de seguridad también pueden aprovechar Uncoder AI para optimizar todo el proceso de ingeniería de detección, mejorando tanto la eficiencia como la cobertura de amenazas. Convierte IOCs en consultas de caza personalizadas de forma automatizada, desarrolla lógica de detección basada en inteligencia de amenazas en tiempo real mediante IA y crea casos de uso listos para SOC con prompts personalizados de IA. Otras funciones incluyen validación de sintaxis, mejora de lógica de detección, visualización automatizada de Attack Flows y enriquecimiento de reglas Sigma con técnicas y sub-técnicas completas de ATT&CK, todo diseñado para elevar la precisión de detección y acelerar la respuesta.
Análisis de CVE-2025-32463 y CVE-2025-32462
La Unidad de Investigación en Ciberseguridad de Stratascale ha revelado recientemente un par de vulnerabilidades LPE en la utilidad de línea de comandos Sudo, comúnmente usada en sistemas operativos tipo Unix. Sudo permite a los usuarios sin privilegios ejecutar comandos con permisos elevados, normalmente como root, sin necesidad de iniciar sesión como superusuario. Estas fallas (CVE-2025-32463 y CVE-2025-32462) afectan a varias distribuciones principales de Linux, incluyendo Ubuntu y Fedora, y también a macOS Sequoia, que se basa en arquitectura Unix.
CVE-2025-32463 es una vulnerabilidad crítica relacionada con la opción --chroot (-R), que, si está permitida por la política de sudoers, permite ejecutar comandos dentro de un directorio raíz definido por el usuario.
En la versión 1.9.14 de Sudo, se introdujo un cambio para resolver rutas mediante chroot() mientras aún se analizaba el archivo sudoers. Esto introdujo una brecha que permite a un atacante crear un archivo falso /etc/nsswitch.conf en la ruta chroot especificada. Si el sistema lo admite, Sudo puede ser engañado para cargar una biblioteca compartida maliciosa, lo que podría otorgar acceso root. Esta vulnerabilidad afecta a las versiones 1.9.14 a 1.9.17. Las versiones anteriores no se ven afectadas ya que no admiten la opción chroot.
Otro problema de seguridad, CVE-2025-32462, es un fallo de baja gravedad en la escalada de privilegios que ha estado presente en el código de Sudo por más de 12 años y se debe a una aplicación incorrecta de la opción --host (-h) . Este indicador está diseñado para usarse con el comando --list (-l) para mostrar los privilegios de un usuario en otro host. Sin embargo, debido a un error, también podía usarse al ejecutar comandos o editar archivos, no solo para listar permisos.
La vulnerabilidad se vuelve explotable cuando las reglas de Sudo están restringidas a nombres de host o patrones específicos. En estos casos, puede producirse una escalada de privilegios a root sin necesidad de un exploit complejo. Este problema afecta tanto a versiones estables (v1.9.0–1.9.17) como a versiones heredadas (v1.8.8–1.8.32) de Sudo.
Dado que actualmente no existen soluciones alternativas para estas vulnerabilidades, los expertos en seguridad recomiendan actualizar a la versión 1.9.17p1 de Sudo como mitigación principal para CVE-2025-32463 y CVE-2025-32462. Esta versión aborda ambas fallas. Dado que Sudo se incluye por defecto en la mayoría de las distribuciones Linux principales, los usuarios deben asegurarse de que sus sistemas estén parcheados con las últimas actualizaciones. Distribuciones importantes como Ubuntu, Debian y SUSE ya han publicado los parches necesarios.
Con el aumento de fallos de escalada de privilegios locales y el riesgo constante de explotación de vulnerabilidades en distribuciones Linux, es fundamental que los defensores permanezcan atentos y prioricen el parcheo oportuno. Además, la detección proactiva de amenazas y la implementación de estrategias robustas son esenciales para minimizar la exposición en un panorama de amenazas cada vez más enfocado. Aprovechar la suite completa de productos de SOC Prime, respaldada por IA, automatización e inteligencia de amenazas en tiempo real, permite a las organizaciones adelantarse a las amenazas más probables.
