CVE-2025-32463 e CVE-2025-32462 Detecção: Vulnerabilidades de escalonamento de privilégios no Sudo ameaçam ambientes Linux
Após a divulgação de duas vulnerabilidades locais de escalonamento de privilégios (LPE), CVE-2025-6018 e CVE-2025-6019, há menos de um mês, que afetam as principais distribuições Linux, uma nova onda de falhas de segurança direcionadas a sistemas Linux surgiu recentemente. Pesquisadores de segurança identificaram duas vulnerabilidades locais de escalonamento de privilégios, registradas como CVE-2025-32462 e CVE-2025-32463, que afetam a amplamente utilizada ferramenta Sudo, presente em várias distribuições Linux.
A exploração de vulnerabilidades continua sendo um dos principais métodos usados por invasores para obter acesso inicial. Em 2025, o uso dessa tática aumentou 34% em relação ao ano anterior, contribuindo para um aumento significativo nas violações de segurança. Mais de 24.500 vulnerabilidades já foram divulgadas em 2025, sendo que mais de 2.500 afetam distribuições Linux. Embora esse número seja inferior ao total registrado em 2024, o ritmo atual de divulgação indica que o total em 2025 poderá superar o do ano anterior. Esse aumento revela uma exposição significativa a ameaças potenciais, incluindo vulnerabilidades que permitem escalonamento de privilégios ou acesso root completo.
As vulnerabilidades de escalonamento de privilégios continuam sendo uma grande preocupação em 2025, com diversas falhas críticas sendo reportadas, como a recentemente divulgada CVE-2025-49144, que afeta o Notepad++ versão 8.8.1 e pode resultar na completa tomada do sistema. Para manter a vantagem nesse cenário de ameaças em constante evolução, os defensores devem contar com conteúdo de detecção atualizado e capacidades avançadas de caça a ameaças.
Registre-se na plataforma SOC Prime para acessar o feed global de ameaças ativas, com CTI (Cyber Threat Intelligence) acionável e algoritmos de detecção selecionados para neutralizar proativamente ameaças emergentes nos estágios iniciais do ataque. A plataforma SOC Prime oferece às equipes de segurança uma coleção abrangente de regras Sigma independentes de fornecedor para detecção de exploração de vulnerabilidades, compatíveis com uma ampla gama de sistemas SIEM, EDR e Data Lake. A equipe da SOC Prime lançou recentemente regras Sigma otimizadas para detectar imediatamente tentativas de exploração das CVE-2025-32462 e CVE-2025-32463:
Possible CVE-2025-32462 Exploitation Attempt (via cmdline)
A CVE-2025-32462 depende de uma configuração específica, embora comum, em que as regras do Sudo são restritas a determinados nomes de host ou padrões de nome. Se essas condições forem atendidas, a escalada de privilégios para root pode ocorrer sem necessidade de exploit adicional.
Suspicious Sudo Chroot Usage (Potential CVE-2025-32463 Exploit)
Essa regra detecta a execução do comando Sudo --chroot referenciando caminhos graváveis pelo usuário, o que pode indicar o uso da CVE-2025-32463 para carregar arquivos de configuração arbitrários como nsswitch.conf.
Ambas as detecções estão mapeadas para o framework MITRE ATT&CK®, cobrindo a tática de Escalada de Privilégios e a técnica correspondente Exploitation for Privilege Escalation (T1068), e são enriquecidas com metadados relevantes. Clique no botão Explore Detections abaixo para acessar as regras Sigma dedicadas à detecção de exploração das CVE-2025-32462 e CVE-2025-32463:
Para defender proativamente sua organização contra ataques cibernéticos que exploram vulnerabilidades conhecidas e ativas, utilize toda a coleção de regras Sigma enriquecidas por contexto, filtradas pela tag “CVE”.
Engenheiros de segurança também podem utilizar o Uncoder AI para otimizar todo o processo de engenharia de detecção, aumentando a eficiência e a cobertura contra ameaças. Converta IOCs em consultas de caça personalizadas automaticamente, crie lógica de detecção com base em inteligência de ameaças em tempo real usando IA, e desenvolva casos de uso prontos para SOC com prompts de IA personalizados. Os recursos adicionais incluem validação de sintaxe, refinamento da lógica de detecção, visualização automatizada de Attack Flows e enriquecimento de regras Sigma com técnicas e sub-técnicas ATT&CK—tudo projetado para elevar a precisão da detecção e acelerar a resposta.
Análise das CVE-2025-32463 e CVE-2025-32462
A Unidade de Pesquisa em Cibersegurança da Stratascale revelou recentemente duas vulnerabilidades LPE na ferramenta de linha de comando Sudo, comumente usada em sistemas baseados em Unix. O Sudo permite que usuários sem privilégios executem comandos com permissões elevadas, normalmente como root, sem exigir login como superusuário. Essas falhas (CVE-2025-32463 e CVE-2025-32462) afetam várias distribuições Linux importantes, incluindo Ubuntu e Fedora, e também o macOS Sequoia, que é baseado em arquitetura Unix.
A CVE-2025-32463 é uma vulnerabilidade crítica relacionada à opção --chroot (-R), que, se permitida pela política do sudoers, permite executar comandos dentro de um diretório raiz definido pelo usuário.
Na versão 1.9.14 do Sudo, foi introduzida uma alteração para resolver caminhos usando chroot() enquanto o arquivo sudoers ainda estava sendo analisado. Isso abriu uma brecha que permite que um invasor crie um arquivo falso /etc/nsswitch.conf no caminho chroot especificado. Se o sistema suportar esse comportamento, o Sudo pode ser enganado para carregar uma biblioteca compartilhada maliciosa, potencialmente concedendo acesso root. A vulnerabilidade afeta as versões 1.9.14 a 1.9.17. Versões anteriores não são afetadas, pois não suportam a opção chroot.
Já a CVE-2025-32462 é uma falha de baixa gravidade de escalonamento de privilégios presente no código do Sudo há mais de 12 anos, causada pela aplicação incorreta da opção --host (-h). Esse parâmetro deve ser usado com o comando --list (-l) para exibir os privilégios de um usuário em outro host. No entanto, devido a um bug, ele também poderia ser usado para executar comandos ou editar arquivos, e não apenas para listar permissões.
A vulnerabilidade se torna explorável quando regras do Sudo são restritas a nomes de host ou padrões específicos. Nesses casos, o escalonamento de privilégios para root pode ocorrer sem a necessidade de um exploit sofisticado. Esse problema afeta tanto versões estáveis (v1.9.0–1.9.17) quanto versões legadas (v1.8.8–1.8.32) do Sudo.
Como ainda não há soluções alternativas para essas vulnerabilidades, especialistas em segurança recomendam atualizar para a versão 1.9.17p1 do Sudo como principal mitigação para CVE-2025-32463 e CVE-2025-32462. Essa versão resolve ambas as falhas. Como o Sudo vem pré-instalado na maioria das distribuições Linux, os usuários devem garantir que seus sistemas estejam atualizados. Distribuições como Ubuntu, Debian e SUSE já lançaram os patches necessários.
Com o aumento das falhas de escalonamento de privilégios locais e o risco crescente de exploração de vulnerabilidades em distribuições Linux, é essencial que os defensores permaneçam vigilantes e priorizem a aplicação de correções. Além disso, a detecção proativa de ameaças e a implementação de estratégias robustas são cruciais para minimizar a exposição em um cenário cada vez mais visado. Utilizar a suite completa de produtos da SOC Prime, com suporte de IA, automação e CTI em tempo real, capacita as organizações a superar as ameaças mais prováveis.
