CVE-2025-32463 e CVE-2025-32462: vulnerabilità di escalation dei privilegi in Sudo minacciano gli ambienti Linux
Dopo la recente divulgazione delle vulnerabilità locali di escalation dei privilegi (LPE) CVE-2025-6018 e CVE-2025-6019, che colpiscono le principali distribuzioni Linux, una nuova ondata di falle di sicurezza prende di mira i sistemi Linux. I ricercatori di sicurezza hanno identificato due nuove vulnerabilità LPE, registrate come CVE-2025-32462 e CVE-2025-32463, che interessano l’ampio utilizzo del comando Sudo installato su numerose distribuzioni Linux.
L’exploit delle vulnerabilità rimane uno dei metodi principali utilizzati dagli attaccanti per ottenere l’accesso iniziale. Nel 2025, l’uso di questa tecnica è aumentato del 34% rispetto all’anno precedente, contribuendo a un aumento significativo delle violazioni. Finora nel 2025 sono state divulgate oltre 24.500 vulnerabilità, di cui oltre 2.500 riguardano distribuzioni Linux. Sebbene il numero totale sia ancora inferiore a quello del 2024, il ritmo attuale suggerisce che il 2025 potrebbe superare l’anno precedente. Questo incremento evidenzia un’esposizione rilevante a minacce potenziali, incluse vulnerabilità che permettono l’escalation dei privilegi o l’accesso root completo.
Le vulnerabilità di escalation dei privilegi restano una criticità rilevante anche nel 2025, con la scoperta di nuove falle gravi come CVE-2025-49144, che colpisce Notepad++ versione 8.8.1 e può compromettere completamente il sistema. Per rimanere all’avanguardia in uno scenario di minacce in continua evoluzione, i difensori devono fare affidamento su contenuti di rilevamento aggiornati e funzionalità avanzate di threat hunting.
Registrati alla piattaforma SOC Prime per accedere al feed globale delle minacce attive, che offre CTI azionabile e algoritmi di rilevamento curati per contrastare proattivamente le minacce emergenti sin dalle prime fasi di attacco. La piattaforma SOC Prime fornisce regole Sigma indipendenti dal fornitore per il rilevamento dello sfruttamento delle vulnerabilità, distribuibili su sistemi SIEM, EDR e Data Lake. Tutti i rilevamenti sono mappati a MITRE ATT&CK® e arricchiti con metadati pertinenti. Clicca su Esplora rilevamenti per accedere alle regole Sigma dedicate, filtrate tramite il tag “CVE”.
Gli analisti della sicurezza possono anche sfruttare Uncoder AI per ottimizzare l’intero processo di detection engineering, migliorando sia l’efficienza che la copertura. Converti automaticamente IOC in query di caccia personalizzate, genera logiche di rilevamento con intelligenza artificiale basata su CTI in tempo reale e sviluppa casi d’uso pronti per il SOC tramite prompt AI personalizzati. Tra le funzionalità aggiuntive: validazione sintattica, raffinamento della logica, visualizzazione automatizzata dei flussi di attacco (Attack Flows), e arricchimento delle regole Sigma con tecniche e sotto-tecniche ATT&CK, tutto progettato per aumentare la precisione e accelerare la risposta.
Analisi delle vulnerabilità CVE-2025-32463 e CVE-2025-32462
La Stratascale Cyber Research Unit ha recentemente reso note due vulnerabilità LPE nel comando Sudo, ampiamente usato nei sistemi Unix-like. Sudo consente agli utenti non privilegiati di eseguire comandi con permessi elevati, solitamente come utente root, senza dover effettuare l’accesso completo come superutente. Le vulnerabilità (CVE-2025-32463 e CVE-2025-32462) impattano diverse distribuzioni Linux, tra cui Ubuntu e Fedora, e anche macOS Sequoia, basato su architettura Unix.
CVE-2025-32463 è una vulnerabilità critica legata all’opzione --chroot (-R), che, se consentita dalla policy sudoers, permette di eseguire comandi in una directory root definita dall’utente.
In Sudo versione 1.9.14, è stata introdotta una modifica per risolvere i percorsi tramite chroot() durante l’analisi del file sudoers. Questo ha introdotto una vulnerabilità che consente a un attaccante di creare un file /etc/nsswitch.conf falso nel percorso chroot definito. Se il sistema lo consente, Sudo può essere ingannato e caricare una libreria condivisa dannosa, ottenendo così accesso root. Sono vulnerabili le versioni dalla 1.9.14 alla 1.9.17; le versioni precedenti non sono interessate poiché non supportano l’opzione chroot.
Un’altra vulnerabilità, CVE-2025-32462, è una falla a bassa gravità presente nel codice Sudo da oltre 12 anni e causata da una gestione impropria dell’opzione --host (-h). Questo parametro dovrebbe essere utilizzato insieme a --list (-l) per elencare i privilegi dell’utente su un host differente. A causa di un bug, è stato possibile usarlo anche per eseguire comandi o modificare file.
La vulnerabilità diventa sfruttabile quando le regole Sudo sono limitate a nomi host o pattern specifici. In tali casi, l’escalation a root può avvenire senza exploit sofisticati. Sono interessate sia le versioni stabili (v1.9.0–1.9.17) sia le versioni legacy (v1.8.8–1.8.32).
Poiché al momento non esistono soluzioni alternative, si raccomanda agli esperti di sicurezza di aggiornare a Sudo 1.9.17p1, che corregge entrambe le vulnerabilità. Sudo è preinstallato nella maggior parte delle distribuzioni desktop Linux moderne, quindi è fondamentale assicurarsi che i sistemi abbiano ricevuto le patch più recenti. Le principali distribuzioni, come Ubuntu, Debian e SUSE, hanno già rilasciato gli aggiornamenti.
Con l’aumento delle vulnerabilità locali di escalation dei privilegi e i crescenti rischi di exploit nei sistemi Linux, è fondamentale mantenere alta l’attenzione e dare priorità al patching tempestivo. Inoltre, la rilevazione proattiva delle minacce e l’adozione di strategie difensive avanzate sono essenziali per ridurre l’esposizione. Sfruttare la suite completa di soluzioni SOC Prime, supportata da AI, automazione e CTI in tempo reale, consente alle organizzazioni di anticipare le minacce più probabili.
