CVE-2025-32463およびCVE-2025-32462の検出:Sudoのローカル権限昇格の脆弱性がLinux環境を脅かす
主要なLinuxディストリビューションに影響を与える2件のローカル権限昇格(LPE)脆弱性、CVE-2025-6018およびCVE-2025-6019の公開から1か月も経たないうちに、Linuxシステムを標的とした新たな脆弱性が発見されました。セキュリティ研究者たちは、広く利用されているSudoユーティリティに存在するローカル権限昇格の脆弱性を2件確認しました。これらはCVE-2025-32462およびCVE-2025-32463として追跡されています。
脆弱性の悪用は、攻撃者が初期アクセスを得る主要な手段の一つであり続けています。2025年には、この戦術の使用が前年に比べて34%増加し、セキュリティ侵害の顕著な増加に寄与しました。2025年だけで24,500件以上の脆弱性が公開され、そのうち2,500件超がLinuxディストリビューションに影響を及ぼしています。これは2024年の総件数を下回るものの、現在の公開ペースを見ると、2025年の総数が前年を超える可能性があります。この急増は、権限昇格やrootアクセス取得を可能にする脆弱性などの脅威への重大な曝露を示しています。
2025年においても、権限昇格の脆弱性は依然として深刻な問題です。最近では、Notepad++バージョン8.8.1に影響を与え、システムの完全な乗っ取りに繋がる可能性のあるCVE-2025-49144など、複数の重大な脆弱性が報告されています。この進化し続ける脅威環境に対応するには、最新の検知コンテンツと高度な脅威ハンティング能力が必要です。
SOC Primeプラットフォームに登録することで、グローバルなアクティブ脅威フィードにアクセスできるようになります。これにより、実行可能なCTI(サイバー脅威インテリジェンス)とキュレーションされた検出アルゴリズムを活用して、攻撃の初期段階で新たな脅威を積極的に阻止できます。SOC Primeプラットフォームは、さまざまなSIEM、EDR、データレイク環境で展開可能な、ベンダーに依存しないSigmaルールの包括的なコレクションをセキュリティチームに提供します。SOC Primeチームは最近、CVE-2025-32462およびCVE-2025-32463の悪用試行を即座に検出できるキュレーション済みSigmaルールをリリースしました。
Possible CVE-2025-32462 Exploitation Attempt (via cmdline)
CVE-2025-32462は、Sudoルールが特定のホスト名またはホスト名パターンに制限されているという、特有ながら一般的な構成に依存しています。この条件が満たされていれば、特別なエクスプロイトを必要とせずにroot権限への昇格が可能となります。
Suspicious Sudo Chroot Usage (Potential CVE-2025-32463 Exploit)
このルールは、ユーザーが書き込み可能なパスを参照するSudo --chroot の実行を検出します。これは、nsswitch.conf などの任意の構成ファイルを読み込ませる目的で、CVE-2025-32463が悪用されている可能性を示します。
これら両方の検出ルールは、MITRE ATT&CK®にマッピングされており、「Privilege Escalation(権限昇格)」の戦術およびそれに対応する「Exploitation for Privilege Escalation(T1068)」の技術に該当します。また、関連するメタデータによって補強されています。以下のExplore Detectionsボタンをクリックすると、CVE-2025-32462およびCVE-2025-32463のエクスプロイト検出に特化したSigmaルールにアクセスできます。
現在および既知の脆弱性を悪用するサイバー攻撃から組織を積極的に防御するには、「CVE」タグ でフィルタリングされた、コンテキスト強化済みSigmaルール全体のコレクションを活用してください。
セキュリティエンジニアは、Uncoder AIも活用できます。これにより、検知エンジニアリング全体を最適化し、効率性と脅威カバレッジを向上させることが可能です。IOCを自動的にカスタムクエリに変換し、リアルタイムの脅威インテリジェンスからAIによって検知ロジックを生成し、SOC向けのユースケースを迅速に構築できます。その他の機能として、構文検証、検知ロジックの最適化、攻撃フローの可視化、ATT&CK技術およびサブ技術を活用したSigmaルールの強化などがあります。
CVE-2025-32463およびCVE-2025-32462の分析
Stratascale Cyber Research Unitは、Unix系OSで広く使用されているSudoコマンドラインユーティリティにおける2件のLPE脆弱性を明らかにしました。Sudoは、非特権ユーザーがrootユーザーのようにコマンドを実行できるようにするもので、完全なrootログインは不要です。これらの脆弱性(CVE-2025-32463およびCVE-2025-32462)は、UbuntuやFedoraなどの主要なLinuxディストリビューション、およびUnixベースのmacOS Sequoiaにも影響します。
CVE-2025-32463は、sudoersポリシーで許可されている場合に--chroot (-R)オプションを使用して、任意のルートディレクトリ内でコマンドを実行可能にする深刻な脆弱性です。
Sudoのバージョン1.9.14では、sudoersファイルの解析中にchroot()でパスを解決する仕様が導入されました。これにより、攻撃者はchrootパス内に偽の/etc/nsswitch.confファイルを作成し、悪意のある共有ライブラリをSudoに読み込ませる可能性があり、root権限を奪取されるリスクがあります。この脆弱性はバージョン1.9.14〜1.9.17に影響し、それ以前のバージョンはchroot機能をサポートしていないため影響を受けません。
もう一つの脆弱性であるCVE-2025-32462は、--host (-h)オプションの不適切な実装に起因する、12年以上存在していた低重要度の権限昇格の問題です。このオプションは、--list (-l)コマンドとともに、他のホストにおけるユーザーのsudo権限を表示するために設計されていましたが、バグにより、コマンドの実行やファイルの編集にも使用できてしまう問題がありました。
この脆弱性は、Sudoルールが特定のホスト名やパターンに制限されている環境で悪用可能となり、複雑なエクスプロイトを必要とせずにroot権限を取得される可能性があります。安定版(v1.9.0〜1.9.17)および旧版(v1.8.8〜1.8.32)の両方が影響を受けます。
これらの脆弱性に対して現在ワークアラウンドは存在しないため、セキュリティ専門家はSudoのバージョン1.9.17p1へのアップデートを推奨しています。このリリースでは両脆弱性が修正されています。Sudoは多くの主要なLinuxディストリビューションに標準搭載されているため、ユーザーは自身のシステムが最新のパッチを適用していることを確認する必要があります。Ubuntu、Debian、SUSEなどの主要ディストリビューションはすでに修正パッチをリリースしています。
ローカル権限昇格の脆弱性の急増と、Linuxディストリビューションにおける脆弱性の悪用リスクの高まりを受け、防御側は常に警戒を保ち、迅速なパッチ適用を優先することが不可欠です。さらに、プロアクティブな脅威検出と将来を見据えた防御戦略の導入は、ターゲットとなるリスクの最小化において重要な鍵となります。AI、自動化、リアルタイムCTIによって強化されたSOC Primeの包括的な製品群は、組織が最も予想されるサイバー脅威を上回る対策を実現するための力を与えます。
