Milhões de sistemas Linux e Unix foram expostos a sérios riscos de segurança devido ao surgimento de duas vulnerabilidades no Sudo, uma ferramenta fundamental que permite aos usuários executar comandos com permissões elevadas de forma controlada. Essas falhas, identificadas como CVE-2025-32462 y CVE-2025-32463, foram recentemente analisadas e relatadas por especialistas em segurança cibernética, alertando sobre seu impacto e a urgência da aplicação de patches.
A descoberta deixou administradores de sistemas e empresas em alerta, já que o Sudo está presente por padrão na maioria das distribuições GNU/Linux e sistemas similares, como o macOS. Ambos os bugs permitem escalonamento de privilégios de contas sem permissões administrativas, comprometendo a integridade dos computadores afetados.
O que é Sudo e por que ele é tão importante?
Sudo é um utilitário essencial em ambientes Unix, usado para executar tarefas administrativas sem precisar fazer login como rootEsta ferramenta fornece controle detalhado sobre quais usuários podem executar determinados comandos, ajudando a manter o princípio do menor privilégio e registrando todas as ações para fins de auditoria.
A configuração do Sudo é gerenciada a partir do arquivo / etc / sudoers, permitindo que você defina regras específicas com base no usuário, comando ou host, uma prática comum para fortalecer a segurança em grandes infraestruturas.
Detalhes técnicos das vulnerabilidades do Sudo
CVE-2025-32462: Falha na opção de host
Essa vulnerabilidade estava escondida no código do Sudo há mais de uma década., afetando as versões estáveis de 1.9.0 a 1.9.17 e as versões legadas de 1.8.8 a 1.8.32. Sua origem está na opção -h o --host, que inicialmente deve ser limitado a listar privilégios para outros computadores Entretanto, devido a uma falha de controle, ele pode ser usado para executar comandos ou editar arquivos como root no próprio sistema.
O vetor de ataque aproveita configurações específicas onde as regras do Sudo são restritas a determinados hosts ou padrões de nomes de host.. Assim, um usuário local pode enganar o sistema fingindo executar comandos em outro host autorizado e obter acesso root. sem exigir uma exploração complexa.
A exploração desse bug é particularmente preocupante em ambientes corporativos, onde as diretivas Host ou Host_Alias são comumente usadas para segmentar o acesso. Nenhum código de exploração adicional é necessário, basta invocar o Sudo com a opção -h e um host autorizado a ignorar restrições.
CVE-2025-32463: Abuso da função chroot
No caso de CVE-2025-32463, a gravidade é maior: Uma falha introduzida na versão 1.9.14 de 2023 na função chroot permite que qualquer usuário local execute código arbitrário de caminhos sob seu controle, ganhando privilégios de administrador.
O ataque é baseado na manipulação do sistema Name Service Switch (NSS). Executando o Sudo com a opção -R (chroot) e define um diretório controlado pelo invasor como root, o Sudo carrega configurações e bibliotecas deste ambiente manipulado. Um invasor pode forçar o carregamento de uma biblioteca compartilhada maliciosa (por exemplo, através de /etc/nsswitch.conf (uma falsa e uma biblioteca preparada na raiz chroot) para obter um shell de root no sistema. A existência dessa falha foi confirmada em diversas distribuições, portanto, é aconselhável manter-se atualizado com as últimas atualizações.
A simplicidade dessa técnica foi verificada em cenários do mundo real, usando apenas um compilador C para criar a biblioteca e iniciando o comando apropriado com Sudo. Não requer sofisticação técnica ou configurações complicadas.
Essas duas vulnerabilidades foram verificadas em versões recentes do Ubuntu, Fedora e macOS Sequoia, embora outras distribuições também possam ser afetadas. Para maior proteção, é essencial aplicar as atualizações recomendadas pelos desenvolvedores.
O que administradores e usuários devem fazer
A única medida eficaz é atualizar o Sudo para a versão 1.9.17p1 ou mais recente, pois nesta versão os desenvolvedores corrigiram os dois problemas: A opção host foi restrita ao uso legítimo e a função chroot recebeu alterações em seu caminho e gerenciamento de biblioteca.As principais distribuições, como Ubuntu, Debian, SUSE e Red Hat, já lançaram os patches correspondentes, e seus repositórios têm versões seguras.
Os especialistas em segurança também recomendam auditar os arquivos /etc/sudoers y /etc/sudoers.d para localizar possíveis usos das diretivas Host ou Host_Alias, e verificar se não há regras que permitam que o bug seja explorado.
Não existem soluções alternativas eficazes. Caso não consiga atualizar imediatamente, recomenda-se monitorar de perto as restrições de acesso e administrativas, embora o risco de exposição permaneça alto. Para saber mais sobre as medidas e recomendações, consulte este guia em atualizações de segurança no Linux.
Este incidente ressalta a importância de verificações regulares de segurança e de manter componentes essenciais como o Sudo atualizados. A existência de falhas ocultas por mais de uma década em um utilitário tão difundido é um forte lembrete dos perigos de confiar cegamente em ferramentas de infraestrutura sem revisão constante.
A detecção dessas vulnerabilidades no Sudo ressalta a importância de estratégias proativas de aplicação de patches e auditoria. Administradores e organizações devem revisar seus sistemas, aplicar os patches disponíveis e permanecer vigilantes para problemas futuros que afetem componentes críticos do sistema operacional.
