CVE-2025-32463 및 CVE-2025-32462 탐지: Sudo 로컬 권한 상승 취약점이 Linux 환경을 위협하다
한 달도 채 되지 않아 주요 Linux 배포판에 영향을 미치는 두 가지 로컬 권한 상승(LPE) 취약점인 CVE-2025-6018 및 CVE-2025-6019이 공개된 이후, Linux 시스템을 겨냥한 또 다른 보안 결함들이 새롭게 발견되었습니다. 보안 연구원들은 다양한 Linux 배포판에 설치된 광범위하게 사용되는 Sudo 유틸리티에서 발견된 두 가지 로컬 권한 상승 취약점(CVE-2025-32462 및 CVE-2025-32463)을 식별했습니다.
취약점 악용은 여전히 공격자가 초기 접근을 얻기 위해 사용하는 주요 수단 중 하나입니다. 2025년에는 이러한 공격 방식이 전년 대비 34% 증가하면서 보안 침해가 크게 늘어났습니다. 2025년 현재까지 24,500건 이상의 취약점이 공개되었으며, 이 중 2,500건 이상이 다양한 Linux 배포판에 영향을 미치고 있습니다. 이는 2024년 총 취약점 수보다 낮지만, 공개 속도로 보아 올해 총 건수는 작년을 초과할 가능성이 큽니다. 이는 권한 상승이나 루트 접근 권한 획득을 유발할 수 있는 위협에 대한 노출이 크다는 점을 시사합니다.
2025년에도 권한 상승 취약점은 여전히 중요한 보안 위협으로 남아 있으며, 최근 공개된 CVE-2025-49144처럼 심각한 수준의 취약점이 계속 보고되고 있습니다. 이 취약점은 Notepad++ 8.8.1 버전에 영향을 주며, 전체 시스템 탈취로 이어질 수 있습니다. 끊임없이 변화하는 위협 환경에서 앞서 나가려면 보안팀은 최신 탐지 콘텐츠와 고급 위협 사냥 기능에 의존해야 합니다.
SOC Prime 플랫폼에 등록하세요. 글로벌 활성 위협 피드를 통해 실행 가능한 위협 인텔리전스(CTI)와 정제된 탐지 알고리즘에 접근하여 공격 초기 단계에서부터 새로운 위협을 선제적으로 차단할 수 있습니다. SOC Prime 플랫폼은 보안 팀에 다양한 SIEM, EDR, Data Lake 시스템 전반에 배포 가능한 공급업체 중립적 Sigma 규칙의 포괄적인 컬렉션을 제공합니다. SOC Prime 팀은 최근 CVE-2025-32462 및 CVE-2025-32463 악용 시도를 즉시 탐지할 수 있도록 정제된 Sigma 규칙을 출시했습니다:
Possible CVE-2025-32462 Exploitation Attempt (via cmdline)
CVE-2025-32462는 특정 호스트 이름 또는 호스트 이름 패턴에 대해 Sudo 규칙이 제한되는 일반적인 구성에 기반합니다. 이러한 조건이 충족되면 루트 권한으로의 권한 상승이 별도의 익스플로잇 없이 가능합니다.
Suspicious Sudo Chroot Usage (Potential CVE-2025-32463 Exploit)
이 규칙은 사용자 쓰기 가능 경로를 참조하는 Sudo --chroot 명령어의 실행을 탐지합니다. 이는 nsswitch.conf 와 같은 임의의 구성 파일을 로드하기 위해 CVE-2025-32463을 악용하려는 시도로 간주될 수 있습니다.
두 탐지 규칙 모두 MITRE ATT&CK® 프레임워크에 매핑되어 있으며, 권한 상승(Privilege Escalation) 전술과 해당 기술인 권한 상승을 위한 악용(Exploitation for Privilege Escalation, T1068)을 다루고 있으며, 관련 메타데이터로 풍부하게 보강되어 있습니다. 아래의 Explore Detections 버튼을 클릭하여 CVE-2025-32462 및 CVE-2025-32463 악용 탐지를 위한 전용 Sigma 규칙에 접근하세요.
현재 및 기존의 취약점을 악용하는 사이버 공격에 선제적으로 대응하려면, “CVE” 태그로 필터링된 모든 맥락 기반 Sigma 규칙 컬렉션을 활용하세요.
보안 엔지니어는 또한 Uncoder AI를 활용하여 전체 탐지 엔지니어링 프로세스를 자동화하고 효율성과 위협 대응 범위를 향상시킬 수 있습니다. IOCs를 사용자 지정 헌팅 쿼리로 자동 변환하고, 실시간 위협 인텔리전스를 기반으로 AI를 통해 탐지 로직을 생성하며, 맞춤형 프롬프트를 활용하여 SOC 환경에 적합한 탐지 사례를 구축할 수 있습니다. 추가 기능에는 구문 유효성 검사, 탐지 로직 개선, Attack Flow 자동 시각화, 그리고 ATT&CK 기술/서브기술 기반 Sigma 룰 보강이 포함되어 있어 탐지 정확성과 대응 속도를 극대화할 수 있습니다.
CVE-2025-32463 및 CVE-2025-32462 분석
Stratascale 사이버 보안 연구팀은 최근 Unix 계열 운영체제에서 널리 사용되는 Sudo 명령줄 유틸리티에서 발견된 두 가지 LPE 취약점을 공개했습니다. Sudo는 일반 사용자가 전체 root 로그인을 하지 않고도 권한 상승 명령을 실행할 수 있도록 허용합니다. 이 취약점(CVE-2025-32463 및 CVE-2025-32462)은 Ubuntu, Fedora를 포함한 주요 Linux 배포판에 영향을 주며, Unix 기반 아키텍처인 macOS Sequoia에도 영향을 줍니다.
CVE-2025-32463은 --chroot (-R) 옵션과 관련된 심각한 취약점으로, sudoers 정책에 의해 허용될 경우 사용자 정의 루트 디렉토리 내에서 명령을 실행할 수 있습니다.
Sudo 1.9.14 버전에서는 chroot() 를 통해 경로를 해석하는 로직이 sudoers 파일 파싱 중 적용되도록 변경되었습니다. 이로 인해 공격자는 지정된 chroot 경로 내에 위조된 /etc/nsswitch.conf 파일을 만들어 악의적인 공유 라이브러리를 로드하게 하여 root 권한을 획득할 수 있습니다. 해당 취약점은 Sudo 1.9.14~1.9.17 버전에 영향을 미치며, 이전 버전은 chroot 옵션을 지원하지 않기 때문에 영향을 받지 않습니다.
또 다른 취약점인 CVE-2025-32462는 --host (-h) 옵션의 잘못된 적용으로 인해 12년 이상 존재해 온 낮은 심각도의 권한 상승 취약점입니다. 원래는 --list (-l) 명령과 함께 사용되어 다른 호스트에 대한 사용자 권한을 나열하는 용도로 설계되었지만, 버그로 인해 명령 실행이나 파일 편집에도 사용할 수 있게 되었습니다.
Sudo 규칙이 특정 호스트 이름이나 패턴에 제한되어 있을 경우, 이 취약점은 복잡한 익스플로잇 없이도 root 권한으로 상승될 수 있습니다. 이 취약점은 Sudo의 안정 버전(v1.9.0–1.9.17)과 레거시 버전(v1.8.8–1.8.32) 모두에 영향을 줍니다.
이 취약점들에 대한 우회책은 현재 존재하지 않으며, 보안 전문가들은 Sudo 버전 1.9.17p1로의 업데이트를 권장합니다. 이 릴리스는 CVE-2025-32463 및 CVE-2025-32462 모두를 해결합니다. 대부분의 주류 Linux 배포판에 Sudo는 기본 포함되어 있으므로, 사용자는 시스템이 최신 패치를 받았는지 반드시 확인해야 합니다. Ubuntu, Debian, SUSE 등 주요 배포판은 이미 관련 업데이트를 배포했습니다.
로컬 권한 상승 취약점의 급증과 함께 Linux 전반에 걸친 취약점 악용 위협이 증가하고 있는 지금, 보안 담당자는 철저한 패치 관리와 함께 탐지 및 방어 전략의 선제적 강화가 무엇보다 중요합니다. SOC Prime의 제품군은 AI, 자동화 및 실시간 CTI를 기반으로 하여, 조직이 예상되는 위협을 앞서 대응할 수 있도록 지원합니다.
