Vulnerabilidad critica en sudo

Publicado hace 11 meses 09-07-2025

Recientemente se ha detectado una vulnerabilidad critica identificada como CVE-2025-32463, esta falla se origina por un error en el funcionamiento de la herramienta sudo. Esta herramienta de línea de comando es muy utilizada en sistemas Linux y Unix para ejecutar comandos con privilegios elevados sin necesidad de iniciar sesión directamente como administrador. 
 

Normalmente, sudo se considera una herramienta segura y está diseñada para proteger al sistema de acciones peligrosas por parte de usuarios sin permisos elevados. Sin embargo, en versiones recientes de sudo entre la 1.9.14 y la 1.9.17, se agregó una nueva función llamada chroot, que permite cambiar el entorno donde sudo va a trabajar, aislándolo dentro de una carpeta específica del sistema. Esta función se pensó para casos donde se quiera ejecutar comandos controlados y aislados del resto del sistema. 
 

El origen de esta vulnerabilidad fue provocado por una falla en el funcionamiento de la herramienta, esta falla ocasiona que no se verifique correctamente los archivos y bibliotecas, lo que puede permitir que usuarios locales sin privilegios creen carpetas y coloquen archivos maliciosos. Dentro de esos archivos los autores maliciosos pueden escribir código manipulado para que al ejecutarse el sistema busque y cargue bibliotecas o archivo con información crítica para las víctimas. El sistema ejecutara los archivos sin hacer más comprobaciones de seguridad lo que puede traer consecuencias graves ya que alguien que normalmente no tiene privilegios puede lograr tener acceso total al sistema, por eso esta vulnerabilidad es considerada crítica y debe corregirse actualizando sudo a una versión más reciente que parche o soluciones esta vulnerabilidad. 

 

Esta vulnerabilidad ya fue analizada por experto en inteligencia de amenazas y se le realizo pruebas de concepto (POC) en donde se comprobó que esta vulnerabilidad se puede explotar con éxito, lo que convierte esta falla en un blanco fácil para los autores de amenazas y pone en peligro a victimas con entorno de producción desprotegidos y desactualizados. Aunque aún no se detectado que el CVE este siendo explotado en la naturaleza como ya se mencionó expertos han comprobado que es explotable, lo que aumenta las posibilidades de que se vuelva una vulnerabilidad que ciberdelincuentes exploten. 

Versiones Afectadas

Versión afectada 

Versión parcheada 

Sudo versión 1.9.14 a 1.9.17 

Actualice a la versión 1.9.17P1 

Recomendaciones

  • Si cuenta con algún producto Linux o Unix de los siguientes: 

    • Actualice Sudo versión 1.9.14 a la versión 1.9.17P1. 
    • Actualice Sudo versión 1.9.15p5 a la versión 1.9.17P1. 
    • Actualice Sudo versión 1.9.16p2 a la versión 1.9.17P1. 

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque. 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Darknite. (2025, Julio 02). Abusing Sudo’s chroot: CVE-2025-32463 Explained. Threatninja.net. Recuperado el 07 de julio de 2025, en: https://threatninja.net/abusing-sudos-chroot-cve-2025-32463-explained/ 
  2. The Hacker News. (2025e, Julio 4). Critical Sudo Vulnerabilities Let Local Users Gain Root Access on Linux, Impacting Major Distros. Recuperado el 07 de julio de 2025, en: https://thehackernews.com/2025/07/critical-sudo-vulnerabilities-let-local.html 
  3. RHV, R. (2025, Julio 02). Linux Pwned! Privilege Escalation on SUDO in 5 seconds. HackerHood tests the CVE-2025-32463 exploit. RHC. Recuperado el 07 de julio de 2025, en:  https://www.redhotcyber.com/en/post/linux-pwned-privilege-escalation-on-sudo-in-5-seconds-hackerhood-tests-the-cve-2025-32463-exploit/ 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 2 días 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más