Détection de CVE-2025-32463 et CVE-2025-32462 : Des vulnérabilités d’escalade de privilèges Sudo menacent les environnements Linux
Moins d’un mois après la divulgation de deux vulnérabilités locales d’escalade de privilèges (LPE), CVE-2025-6018 et CVE-2025-6019, affectant les principales distributions Linux, une nouvelle vague de failles de sécurité ciblant les systèmes Linux a récemment émergé. Des chercheurs en cybersécurité ont identifié deux vulnérabilités locales d’escalade de privilèges, référencées sous CVE-2025-32462 et CVE-2025-32463, touchant l’utilitaire Sudo largement utilisé sur diverses distributions Linux.
L’exploitation des vulnérabilités reste l’un des principaux vecteurs d’accès initial pour les attaquants. En 2025, cette tactique a connu une hausse de 34 % par rapport à l’année précédente, contribuant à une augmentation notable des compromissions. Plus de 24 500 vulnérabilités ont été divulguées en 2025, dont plus de 2 500 concernent les distributions Linux. Bien que ce nombre reste inférieur à celui de 2024, la cadence actuelle suggère que 2025 pourrait dépasser le total de l’année précédente. Cette dynamique met en évidence une forte exposition aux menaces, notamment celles permettant l’escalade de privilèges ou un accès root complet.
En 2025, les vulnérabilités d’escalade de privilèges restent préoccupantes, avec plusieurs failles critiques révélées, telles que la CVE-2025-49144, affectant Notepad++ version 8.8.1 et pouvant entraîner une compromission totale du système. Pour anticiper les menaces dans cet environnement en constante évolution, les défenseurs doivent s’appuyer sur du contenu de détection actualisé et des capacités avancées de chasse aux menaces.
Inscrivez-vous sur la plateforme SOC Prime pour accéder au flux mondial des menaces actives, qui fournit des renseignements sur les menaces (CTI) exploitables et des algorithmes de détection sélectionnés pour contrer de manière proactive les menaces émergentes dès les premières phases d’attaque. La plateforme SOC Prime fournit aux équipes de sécurité une collection complète de règles Sigma indépendantes des fournisseurs pour la détection de l’exploitation des vulnérabilités, déployables sur divers systèmes SIEM, EDR et Data Lake. L’équipe de SOC Prime a récemment publié des règles Sigma sélectionnées permettant de détecter instantanément les tentatives d’exploitation des vulnérabilités CVE-2025-32462 et CVE-2025-32463 :
Possible CVE-2025-32462 Exploitation Attempt (via cmdline)
CVE-2025-32462 repose sur une configuration spécifique mais courante, dans laquelle les règles Sudo sont limitées à certains noms d’hôtes ou modèles de noms d’hôtes. Si ces conditions sont remplies, une élévation de privilèges vers root ne nécessite aucun exploit supplémentaire.
Suspicious Sudo Chroot Usage (Potential CVE-2025-32463 Exploit)
Cette règle détecte l’exécution de la commande Sudo --chroot en référence à des chemins accessibles en écriture par l’utilisateur, ce qui pourrait permettre l’exploitation de CVE-2025-32463 pour charger des fichiers de configuration arbitraires, tels que nsswitch.conf.
Ces deux détections sont alignées sur le framework MITRE ATT&CK®, ciblant la tactique « Privilege Escalation » et la technique associée « Exploitation for Privilege Escalation » (T1068), et sont enrichies de métadonnées pertinentes. Cliquez sur le bouton Explore Detections ci-dessous pour accéder aux règles Sigma dédiées à la détection des exploits des CVE-2025-32462 et CVE-2025-32463 :
Pour protéger votre organisation de manière proactive contre les cyberattaques exploitant des vulnérabilités existantes ou nouvelles, appuyez-vous sur l’ensemble complet de règles Sigma enrichies de contexte, filtrées via le tag « CVE ».
Les ingénieurs en sécurité peuvent également exploiter Uncoder AI pour optimiser l’ensemble du processus d’ingénierie de détection, améliorant à la fois l’efficacité et la couverture des menaces. Convertissez automatiquement les IOCs en requêtes personnalisées de chasse, générez de la logique de détection à partir de renseignements sur les menaces en temps réel via l’IA, et créez des cas d’usage SOC-ready avec des prompts IA dédiés. Fonctions supplémentaires : validation syntaxique, affinement de la logique, visualisation automatisée des Attack Flows, et enrichissement des règles Sigma avec les techniques et sous-techniques ATT&CK, le tout pour renforcer la précision et accélérer la réponse.
Analyse des vulnérabilités CVE-2025-32463 et CVE-2025-32462
Le Stratascale Cyber Research Unit a récemment révélé deux vulnérabilités LPE dans l’utilitaire en ligne de commande Sudo, utilisé dans les systèmes Unix-like. Sudo permet aux utilisateurs non privilégiés d’exécuter des commandes avec des privilèges élevés, généralement en tant que root, sans connexion complète. Ces failles (CVE-2025-32463 et CVE-2025-32462) affectent des distributions Linux majeures, dont Ubuntu et Fedora, ainsi que macOS Sequoia, basé sur une architecture Unix.
CVE-2025-32463 est une vulnérabilité critique impliquant l’option --chroot (-R) qui, si autorisée dans la politique sudoers, permet d’exécuter des commandes dans un répertoire racine défini par l’utilisateur.
Dans la version 1.9.14 de Sudo, un changement a été introduit pour résoudre les chemins via chroot() alors que le fichier sudoers était encore en cours d’analyse. Cela a ouvert une faille permettant à un attaquant de créer un faux fichier /etc/nsswitch.conf dans le chemin chroot défini. Si le système le permet, Sudo peut être trompé et charger une bibliothèque partagée malveillante, accordant potentiellement un accès root. Les versions concernées vont de 1.9.14 à 1.9.17. Les versions antérieures ne sont pas impactées car elles ne prennent pas en charge l’option chroot.
Une autre faille, CVE-2025-32462, est une vulnérabilité d’escalade de privilèges de faible gravité présente dans le code de Sudo depuis plus de 12 ans. Elle est liée à l’implémentation incorrecte de l’option --host (-h). Ce paramètre est censé être utilisé avec la commande --list (-l) pour afficher les privilèges sudo d’un utilisateur sur un autre hôte. Toutefois, en raison d’un bug, il pouvait également être utilisé pour exécuter des commandes ou éditer des fichiers, et pas seulement pour lister les autorisations.
Cette vulnérabilité devient exploitable lorsque les règles Sudo sont restreintes à certains noms d’hôtes ou motifs. Dans ce cas, une élévation de privilèges root peut être obtenue sans exploit complexe. Le problème concerne les versions stables (v1.9.0–1.9.17) ainsi que les versions legacy (v1.8.8–1.8.32).
Aucun contournement n’étant actuellement disponible, les experts recommandent de mettre à jour vers Sudo 1.9.17p1 pour corriger à la fois CVE-2025-32463 et CVE-2025-32462. Cette version corrige les deux vulnérabilités. Comme Sudo est préinstallé sur la plupart des distributions Linux, les utilisateurs doivent vérifier que leurs systèmes sont à jour. Ubuntu, Debian et SUSE ont déjà publié les correctifs nécessaires.
Avec la recrudescence des vulnérabilités locales d’escalade de privilèges et les risques croissants liés à leur exploitation, il est crucial pour les défenseurs de rester vigilants et de prioriser les correctifs. De plus, la détection proactive des menaces et des stratégies robustes sont essentielles pour limiter l’exposition. S’appuyer sur la suite complète de produits SOC Prime, renforcée par l’IA, l’automatisation et du CTI en temps réel, permet aux organisations de se défendre efficacement contre les cybermenaces les plus probables.
