CVE-2025-32463 및 CVE-2025-32462: Sudo 로컬 권한 상승 취약점이 Linux 환경을 위협하다
한 달도 채 되지 않아 주요 Linux 배포판에 영향을 미치는 두 가지 로컬 권한 상승(LPE) 취약점인 CVE-2025-6018 및 CVE-2025-6019이 공개된 이후, Linux 시스템을 겨냥한 또 다른 보안 결함들이 새롭게 발견되었습니다. 보안 연구원들은 다양한 Linux 배포판에 설치된 광범위하게 사용되는 Sudo 유틸리티에서 발견된 두 가지 로컬 권한 상승 취약점(CVE-2025-32462 및 CVE-2025-32463)을 식별했습니다.
취약점 악용은 여전히 공격자가 초기 접근을 얻기 위해 사용하는 주요 수단 중 하나입니다. 2025년에는 이러한 공격 방식이 전년 대비 34% 증가하면서 보안 침해가 크게 늘어났습니다. 2025년 현재까지 24,500건 이상의 취약점이 공개되었으며, 이 중 2,500건 이상이 다양한 Linux 배포판에 영향을 미치고 있습니다. 이는 2024년 총 취약점 수보다 낮지만, 공개 속도로 보아 올해 총 건수는 작년을 초과할 가능성이 큽니다. 이는 권한 상승이나 루트 접근 권한 획득을 유발할 수 있는 위협에 대한 노출이 크다는 점을 시사합니다.
2025년에도 권한 상승 취약점은 여전히 중요한 보안 위협으로 남아 있으며, 최근 공개된 CVE-2025-49144처럼 심각한 수준의 취약점이 계속 보고되고 있습니다. 이 취약점은 Notepad++ 8.8.1 버전에 영향을 주며, 전체 시스템 탈취로 이어질 수 있습니다. 끊임없이 변화하는 위협 환경에서 앞서 나가려면 보안팀은 최신 탐지 콘텐츠와 고급 위협 사냥 기능에 의존해야 합니다.
SOC Prime 플랫폼에 등록하면 전 세계 위협 인텔리전스 피드를 통해 실행 가능한 CTI와 정교한 탐지 알고리즘을 확보할 수 있습니다. 이 플랫폼은 다양한 SIEM, EDR, Data Lake 시스템에서 활용 가능한 공급업체 독립형 Sigma 룰 모음을 제공하며, 모든 탐지는 MITRE ATT&CK®에 매핑되고 관련 메타데이터로 보강됩니다. 현재 및 과거 취약점을 “CVE” 태그로 필터링하여 탐지할 수 있는 전용 Sigma 룰을 보려면 탐지 보기 버튼을 클릭하세요.
보안 엔지니어는 또한 Uncoder AI를 활용하여 전체 탐지 엔지니어링 프로세스를 자동화하고 효율성과 위협 대응 범위를 향상시킬 수 있습니다. IOCs를 사용자 지정 헌팅 쿼리로 자동 변환하고, 실시간 위협 인텔리전스를 기반으로 AI를 통해 탐지 로직을 생성하며, 맞춤형 프롬프트를 활용하여 SOC 환경에 적합한 탐지 사례를 구축할 수 있습니다. 추가 기능에는 구문 유효성 검사, 탐지 로직 개선, Attack Flow 자동 시각화, 그리고 ATT&CK 기술/서브기술 기반 Sigma 룰 보강이 포함되어 있어 탐지 정확성과 대응 속도를 극대화할 수 있습니다.
CVE-2025-32463 및 CVE-2025-32462 분석
Stratascale 사이버 보안 연구팀은 최근 Unix 계열 운영체제에서 널리 사용되는 Sudo 명령줄 유틸리티에서 발견된 두 가지 LPE 취약점을 공개했습니다. Sudo는 일반 사용자가 전체 root 로그인을 하지 않고도 권한 상승 명령을 실행할 수 있도록 허용합니다. 이 취약점(CVE-2025-32463 및 CVE-2025-32462)은 Ubuntu, Fedora를 포함한 주요 Linux 배포판에 영향을 주며, Unix 기반 아키텍처인 macOS Sequoia에도 영향을 줍니다.
CVE-2025-32463은 --chroot (-R) 옵션과 관련된 심각한 취약점으로, sudoers 정책에 의해 허용될 경우 사용자 정의 루트 디렉토리 내에서 명령을 실행할 수 있습니다.
Sudo 1.9.14 버전에서는 chroot() 를 통해 경로를 해석하는 로직이 sudoers 파일 파싱 중 적용되도록 변경되었습니다. 이로 인해 공격자는 지정된 chroot 경로 내에 위조된 /etc/nsswitch.conf 파일을 만들어 악의적인 공유 라이브러리를 로드하게 하여 root 권한을 획득할 수 있습니다. 해당 취약점은 Sudo 1.9.14~1.9.17 버전에 영향을 미치며, 이전 버전은 chroot 옵션을 지원하지 않기 때문에 영향을 받지 않습니다.
또 다른 취약점인 CVE-2025-32462는 --host (-h) 옵션의 잘못된 적용으로 인해 12년 이상 존재해 온 낮은 심각도의 권한 상승 취약점입니다. 원래는 --list (-l) 명령과 함께 사용되어 다른 호스트에 대한 사용자 권한을 나열하는 용도로 설계되었지만, 버그로 인해 명령 실행이나 파일 편집에도 사용할 수 있게 되었습니다.
Sudo 규칙이 특정 호스트 이름이나 패턴에 제한되어 있을 경우, 이 취약점은 복잡한 익스플로잇 없이도 root 권한으로 상승될 수 있습니다. 이 취약점은 Sudo의 안정 버전(v1.9.0–1.9.17)과 레거시 버전(v1.8.8–1.8.32) 모두에 영향을 줍니다.
이 취약점들에 대한 우회책은 현재 존재하지 않으며, 보안 전문가들은 Sudo 버전 1.9.17p1로의 업데이트를 권장합니다. 이 릴리스는 CVE-2025-32463 및 CVE-2025-32462 모두를 해결합니다. 대부분의 주류 Linux 배포판에 Sudo는 기본 포함되어 있으므로, 사용자는 시스템이 최신 패치를 받았는지 반드시 확인해야 합니다. Ubuntu, Debian, SUSE 등 주요 배포판은 이미 관련 업데이트를 배포했습니다.
로컬 권한 상승 취약점의 급증과 함께 Linux 전반에 걸친 취약점 악용 위협이 증가하고 있는 지금, 보안 담당자는 철저한 패치 관리와 함께 탐지 및 방어 전략의 선제적 강화가 무엇보다 중요합니다. SOC Prime의 제품군은 AI, 자동화 및 실시간 CTI를 기반으로 하여, 조직이 예상되는 위협을 앞서 대응할 수 있도록 지원합니다.
