CVE-2025-32463 및 CVE-2025-32462: Sudo 로컬 권한 상승 취약점이 Linux 환경을 위협하다

[post-views]
7월 02, 2025 · 4 분 읽기
CVE-2025-32463 및 CVE-2025-32462: Sudo 로컬 권한 상승 취약점이 Linux 환경을 위협하다

한 달도 채 되지 않아 주요 Linux 배포판에 영향을 미치는 두 가지 로컬 권한 상승(LPE) 취약점인 CVE-2025-6018 및 CVE-2025-6019이 공개된 이후, Linux 시스템을 겨냥한 또 다른 보안 결함들이 새롭게 발견되었습니다. 보안 연구원들은 다양한 Linux 배포판에 설치된 광범위하게 사용되는 Sudo 유틸리티에서 발견된 두 가지 로컬 권한 상승 취약점(CVE-2025-32462 및 CVE-2025-32463)을 식별했습니다.

취약점 악용은 여전히 공격자가 초기 접근을 얻기 위해 사용하는 주요 수단 중 하나입니다. 2025년에는 이러한 공격 방식이 전년 대비 34% 증가하면서 보안 침해가 크게 늘어났습니다. 2025년 현재까지 24,500건 이상의 취약점이 공개되었으며, 이 중 2,500건 이상이 다양한 Linux 배포판에 영향을 미치고 있습니다. 이는 2024년 총 취약점 수보다 낮지만, 공개 속도로 보아 올해 총 건수는 작년을 초과할 가능성이 큽니다. 이는 권한 상승이나 루트 접근 권한 획득을 유발할 수 있는 위협에 대한 노출이 크다는 점을 시사합니다.

2025년에도 권한 상승 취약점은 여전히 중요한 보안 위협으로 남아 있으며, 최근 공개된 CVE-2025-49144처럼 심각한 수준의 취약점이 계속 보고되고 있습니다. 이 취약점은 Notepad++ 8.8.1 버전에 영향을 주며, 전체 시스템 탈취로 이어질 수 있습니다. 끊임없이 변화하는 위협 환경에서 앞서 나가려면 보안팀은 최신 탐지 콘텐츠와 고급 위협 사냥 기능에 의존해야 합니다.

SOC Prime 플랫폼에 등록하면 전 세계 위협 인텔리전스 피드를 통해 실행 가능한 CTI와 정교한 탐지 알고리즘을 확보할 수 있습니다. 이 플랫폼은 다양한 SIEM, EDR, Data Lake 시스템에서 활용 가능한 공급업체 독립형 Sigma 룰 모음을 제공하며, 모든 탐지는 MITRE ATT&CK®에 매핑되고 관련 메타데이터로 보강됩니다. 현재 및 과거 취약점을 “CVE” 태그로 필터링하여 탐지할 수 있는 전용 Sigma 룰을 보려면 탐지 보기 버튼을 클릭하세요.

탐지 보기

보안 엔지니어는 또한 Uncoder AI를 활용하여 전체 탐지 엔지니어링 프로세스를 자동화하고 효율성과 위협 대응 범위를 향상시킬 수 있습니다. IOCs를 사용자 지정 헌팅 쿼리로 자동 변환하고, 실시간 위협 인텔리전스를 기반으로 AI를 통해 탐지 로직을 생성하며, 맞춤형 프롬프트를 활용하여 SOC 환경에 적합한 탐지 사례를 구축할 수 있습니다. 추가 기능에는 구문 유효성 검사, 탐지 로직 개선, Attack Flow 자동 시각화, 그리고 ATT&CK 기술/서브기술 기반 Sigma 룰 보강이 포함되어 있어 탐지 정확성과 대응 속도를 극대화할 수 있습니다.

CVE-2025-32463 및 CVE-2025-32462 분석

Stratascale 사이버 보안 연구팀은 최근 Unix 계열 운영체제에서 널리 사용되는 Sudo 명령줄 유틸리티에서 발견된 두 가지 LPE 취약점을 공개했습니다. Sudo는 일반 사용자가 전체 root 로그인을 하지 않고도 권한 상승 명령을 실행할 수 있도록 허용합니다. 이 취약점(CVE-2025-32463 및 CVE-2025-32462)은 Ubuntu, Fedora를 포함한 주요 Linux 배포판에 영향을 주며, Unix 기반 아키텍처인 macOS Sequoia에도 영향을 줍니다.

CVE-2025-32463은 --chroot (-R) 옵션과 관련된 심각한 취약점으로, sudoers 정책에 의해 허용될 경우 사용자 정의 루트 디렉토리 내에서 명령을 실행할 수 있습니다.

Sudo 1.9.14 버전에서는 chroot() 를 통해 경로를 해석하는 로직이 sudoers 파일 파싱 중 적용되도록 변경되었습니다. 이로 인해 공격자는 지정된 chroot 경로 내에 위조된 /etc/nsswitch.conf 파일을 만들어 악의적인 공유 라이브러리를 로드하게 하여 root 권한을 획득할 수 있습니다. 해당 취약점은 Sudo 1.9.14~1.9.17 버전에 영향을 미치며, 이전 버전은 chroot 옵션을 지원하지 않기 때문에 영향을 받지 않습니다.

또 다른 취약점인 CVE-2025-32462는 --host (-h) 옵션의 잘못된 적용으로 인해 12년 이상 존재해 온 낮은 심각도의 권한 상승 취약점입니다. 원래는 --list (-l) 명령과 함께 사용되어 다른 호스트에 대한 사용자 권한을 나열하는 용도로 설계되었지만, 버그로 인해 명령 실행이나 파일 편집에도 사용할 수 있게 되었습니다.

Sudo 규칙이 특정 호스트 이름이나 패턴에 제한되어 있을 경우, 이 취약점은 복잡한 익스플로잇 없이도 root 권한으로 상승될 수 있습니다. 이 취약점은 Sudo의 안정 버전(v1.9.0–1.9.17)과 레거시 버전(v1.8.8–1.8.32) 모두에 영향을 줍니다.

이 취약점들에 대한 우회책은 현재 존재하지 않으며, 보안 전문가들은 Sudo 버전 1.9.17p1로의 업데이트를 권장합니다. 이 릴리스는 CVE-2025-32463 및 CVE-2025-32462 모두를 해결합니다. 대부분의 주류 Linux 배포판에 Sudo는 기본 포함되어 있으므로, 사용자는 시스템이 최신 패치를 받았는지 반드시 확인해야 합니다. Ubuntu, Debian, SUSE 등 주요 배포판은 이미 관련 업데이트를 배포했습니다.

로컬 권한 상승 취약점의 급증과 함께 Linux 전반에 걸친 취약점 악용 위협이 증가하고 있는 지금, 보안 담당자는 철저한 패치 관리와 함께 탐지 및 방어 전략의 선제적 강화가 무엇보다 중요합니다. SOC Prime의 제품군은 AI, 자동화 및 실시간 CTI를 기반으로 하여, 조직이 예상되는 위협을 앞서 대응할 수 있도록 지원합니다.

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물