La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) ha advertido sobre la explotación activa de CVE-2025-32463, una vulnerabilidad crítica en sudo —la utilidad estándar para ejecutar comandos con privilegios elevados en Linux— con CVSS 9.3. El fallo, ya observado en ataques reales, eleva el riesgo para entornos corporativos y gubernamentales donde sudo es un componente transversal de la administración del sistema.
Alcance de CVE-2025-32463: versiones afectadas y vector
Investigadores de Stratascale identificaron el problema en verano de 2025 en versiones de sudo anteriores a 1.9.17p1. El defecto permite escalada local de privilegios a root cuando se usa la opción -R (chroot) y el archivo /etc/nsswitch.conf proviene de un directorio controlado por el usuario. CISA confirma la explotación en el mundo real, sin detallar incidentes específicos, lo que subraya la urgencia de aplicar parches.
Cómo funciona el fallo: chroot y Name Service Switch (NSS)
El núcleo del problema reside en cómo sudo maneja un root especificado por el usuario con chroot y cómo interactúa con el subsistema NSS de glibc para la resolución de identidades y servicios. Si un atacante puede apuntar sudo a un árbol de directorios arbitrario que contenga un nsswitch.conf manipulado, el proceso puede cargar módulos NSS desde bibliotecas compartidas igualmente controladas. El resultado práctico es ejecución de código con privilegios de root. De forma importante, la explotación no requiere entradas especiales en sudoers; cualquier usuario local sin privilegios que pueda invocar sudo -R en un sistema vulnerable podría intentar la elevación.
Impacto y riesgo: por qué CVSS 9.3 es coherente
La puntuación refleja un componente omnipresente (sudo) y un vector de privilege escalation que reduce drásticamente el tiempo a la dominación del host una vez obtenido acceso inicial. La disponibilidad de PoC públicos por parte de Stratascale y otras implementaciones baja la barrera de entrada para actores maliciosos, desde operadores de ransomware hasta insiders. En la práctica, la explotación de LPE (MITRE ATT&CK T1068) es un eslabón típico en cadenas de intrusión para moverse lateralmente y persistir.
Respuesta del proyecto sudo: retirada de soporte chroot
El mantenedor de sudo, Todd C. Miller, adelantó la intención de eliminar por completo el soporte de chroot en futuras versiones. Esta decisión apunta a reducir superficies de ataque asociadas a rutas de código complejas —entornos aislados y carga dinámica de bibliotecas— que históricamente han concentrado clases de errores difíciles de auditar con precisión.
Recomendaciones de mitigación y detección para Linux
Actualice de inmediato. Verifique la versión con sudo -V y despliegue paquetes corregidos; el objetivo es salir de compilaciones anteriores a 1.9.17p1. Use los repositorios de seguridad de su distribución y priorice sistemas con usuarios locales no administrados.
Evite sudo -R (chroot). Deshabilite o retire automatizaciones y scripts que dependan de un root especificado por el usuario. Donde sea imprescindible, limite estrictamente los directorios accesibles y sus permisos.
Integridad y configuración. Supervise intentos de sustitución de nsswitch.conf y la aparición de módulos NSS no estándar. Aplique control de integridad de archivos y políticas que bloqueen la carga de bibliotecas no firmadas o fuera de rutas del sistema.
Registro y detección. Refuerce el auditing de llamadas a sudo, eventos chroot y cargas dinámicas de bibliotecas. Configure alertas SIEM ante patrones de escalada local y anomalías en NSS.
Políticas de acceso. Aplique el principio de menor privilegio, restrinja el uso de sudo a cuentas administrativas, implemente MFA donde sea factible y segmente estaciones de trabajo de administración.
La explotación activa de CVE-2025-32463 es un recordatorio de que incluso las herramientas administrativas básicas son objetivos de alto valor. Actúe con celeridad: aplique parches, reduzca la exposición del modo chroot, fortalezca la monitorización y siga los boletines de CISA y de su distribución Linux. Cuanto antes se cierre la vía de inyección a través de nsswitch en el contexto de sudo, menor será la probabilidad de escaladas de privilegios exitosas y de compromisos en nodos críticos.
