Rilevamento di CVE-2025-32463 e CVE-2025-32462: vulnerabilità di escalation dei privilegi in Sudo minacciano gli ambienti Linux
Dopo la recente divulgazione delle vulnerabilità locali di escalation dei privilegi (LPE) CVE-2025-6018 e CVE-2025-6019, che colpiscono le principali distribuzioni Linux, una nuova ondata di falle di sicurezza prende di mira i sistemi Linux. I ricercatori di sicurezza hanno identificato due nuove vulnerabilità LPE, registrate come CVE-2025-32462 e CVE-2025-32463, che interessano l’ampio utilizzo del comando Sudo installato su numerose distribuzioni Linux.
L’exploit delle vulnerabilità rimane uno dei metodi principali utilizzati dagli attaccanti per ottenere l’accesso iniziale. Nel 2025, l’uso di questa tecnica è aumentato del 34% rispetto all’anno precedente, contribuendo a un aumento significativo delle violazioni. Finora nel 2025 sono state divulgate oltre 24.500 vulnerabilità, di cui oltre 2.500 riguardano distribuzioni Linux. Sebbene il numero totale sia ancora inferiore a quello del 2024, il ritmo attuale suggerisce che il 2025 potrebbe superare l’anno precedente. Questo incremento evidenzia un’esposizione rilevante a minacce potenziali, incluse vulnerabilità che permettono l’escalation dei privilegi o l’accesso root completo.
Le vulnerabilità di escalation dei privilegi restano una criticità rilevante anche nel 2025, con la scoperta di nuove falle gravi come CVE-2025-49144, che colpisce Notepad++ versione 8.8.1 e può compromettere completamente il sistema. Per rimanere all’avanguardia in uno scenario di minacce in continua evoluzione, i difensori devono fare affidamento su contenuti di rilevamento aggiornati e funzionalità avanzate di threat hunting.
Registrati alla piattaforma SOC Prime per accedere al feed globale delle minacce attive, che offre CTI (Cyber Threat Intelligence) utilizzabile e algoritmi di rilevamento selezionati per contrastare in modo proattivo le minacce emergenti nelle fasi iniziali dell’attacco. La piattaforma SOC Prime fornisce ai team di sicurezza una raccolta completa di regole Sigma indipendenti dal fornitore per il rilevamento dello sfruttamento delle vulnerabilità, distribuibili su diversi sistemi SIEM, EDR e Data Lake. Il team di SOC Prime ha recentemente pubblicato regole Sigma curate per rilevare immediatamente i tentativi di exploit di CVE-2025-32462 e CVE-2025-32463:
Possible CVE-2025-32462 Exploitation Attempt (via cmdline)
CVE-2025-32462 si basa su una configurazione specifica, ma comune, in cui le regole Sudo sono limitate a determinati hostname o pattern di hostname. Se queste condizioni sono soddisfatte, l’elevazione dei privilegi a root non richiede alcun exploit aggiuntivo.
Suspicious Sudo Chroot Usage (Potential CVE-2025-32463 Exploit)
Questa regola rileva l’esecuzione di Sudo --chroot che fa riferimento a percorsi scrivibili dall’utente, potenzialmente sfruttando CVE-2025-32463 per caricare file di configurazione arbitrari come nsswitch.conf.
Entrambe le rilevazioni sono mappate al framework MITRE ATT&CK®, in particolare alla tattica “Privilege Escalation” e alla tecnica corrispondente “Exploitation for Privilege Escalation” (T1068), e sono arricchite con metadati rilevanti. Fai clic sul pulsante Explore Detections qui sotto per accedere alle regole Sigma dedicate al rilevamento degli exploit di CVE-2025-32462 e CVE-2025-32463:
Per difendere proattivamente la tua organizzazione da attacchi informatici che sfruttano vulnerabilità note o attuali, fai affidamento sull’intera raccolta di regole Sigma arricchite di contesto, filtrate tramite il tag “CVE”.
Gli analisti della sicurezza possono anche sfruttare Uncoder AI per ottimizzare l’intero processo di detection engineering, migliorando sia l’efficienza che la copertura. Converti automaticamente IOC in query di caccia personalizzate, genera logiche di rilevamento con intelligenza artificiale basata su CTI in tempo reale e sviluppa casi d’uso pronti per il SOC tramite prompt AI personalizzati. Tra le funzionalità aggiuntive: validazione sintattica, raffinamento della logica, visualizzazione automatizzata dei flussi di attacco (Attack Flows), e arricchimento delle regole Sigma con tecniche e sotto-tecniche ATT&CK, tutto progettato per aumentare la precisione e accelerare la risposta.
Analisi delle vulnerabilità CVE-2025-32463 e CVE-2025-32462
La Stratascale Cyber Research Unit ha recentemente reso note due vulnerabilità LPE nel comando Sudo, ampiamente usato nei sistemi Unix-like. Sudo consente agli utenti non privilegiati di eseguire comandi con permessi elevati, solitamente come utente root, senza dover effettuare l’accesso completo come superutente. Le vulnerabilità (CVE-2025-32463 e CVE-2025-32462) impattano diverse distribuzioni Linux, tra cui Ubuntu e Fedora, e anche macOS Sequoia, basato su architettura Unix.
CVE-2025-32463 è una vulnerabilità critica legata all’opzione --chroot (-R), che, se consentita dalla policy sudoers, permette di eseguire comandi in una directory root definita dall’utente.
In Sudo versione 1.9.14, è stata introdotta una modifica per risolvere i percorsi tramite chroot() durante l’analisi del file sudoers. Questo ha introdotto una vulnerabilità che consente a un attaccante di creare un file /etc/nsswitch.conf falso nel percorso chroot definito. Se il sistema lo consente, Sudo può essere ingannato e caricare una libreria condivisa dannosa, ottenendo così accesso root. Sono vulnerabili le versioni dalla 1.9.14 alla 1.9.17; le versioni precedenti non sono interessate poiché non supportano l’opzione chroot.
Un’altra vulnerabilità, CVE-2025-32462, è una falla a bassa gravità presente nel codice Sudo da oltre 12 anni e causata da una gestione impropria dell’opzione --host (-h). Questo parametro dovrebbe essere utilizzato insieme a --list (-l) per elencare i privilegi dell’utente su un host differente. A causa di un bug, è stato possibile usarlo anche per eseguire comandi o modificare file.
La vulnerabilità diventa sfruttabile quando le regole Sudo sono limitate a nomi host o pattern specifici. In tali casi, l’escalation a root può avvenire senza exploit sofisticati. Sono interessate sia le versioni stabili (v1.9.0–1.9.17) sia le versioni legacy (v1.8.8–1.8.32).
Poiché al momento non esistono soluzioni alternative, si raccomanda agli esperti di sicurezza di aggiornare a Sudo 1.9.17p1, che corregge entrambe le vulnerabilità. Sudo è preinstallato nella maggior parte delle distribuzioni desktop Linux moderne, quindi è fondamentale assicurarsi che i sistemi abbiano ricevuto le patch più recenti. Le principali distribuzioni, come Ubuntu, Debian e SUSE, hanno già rilasciato gli aggiornamenti.
Con l’aumento delle vulnerabilità locali di escalation dei privilegi e i crescenti rischi di exploit nei sistemi Linux, è fondamentale mantenere alta l’attenzione e dare priorità al patching tempestivo. Inoltre, la rilevazione proattiva delle minacce e l’adozione di strategie difensive avanzate sono essenziali per ridurre l’esposizione. Sfruttare la suite completa di soluzioni SOC Prime, supportata da AI, automazione e CTI in tempo reale, consente alle organizzazioni di anticipare le minacce più probabili.
