CISA ha alertado sobre la explotación activa de la vulnerabilidad CVE-2025-32463 en Sudo, permitiendo a atacantes locales sin privilegios escalar a root. El fallo ya cuenta con parches disponibles y ha sido incluido en el catálogo de amenazas activas.

El comando Sudo es fundamental en entornos Linux y macOS para controlar el acceso a privilegios de administración. Una grave vulnerabilidad de escalada de privilegios locales (LPE), identificada como CVE-2025-32463 y con una puntuación CVSS de 9.3, ha sido recientemente explotada, poniendo en jaque la seguridad de servidores y estaciones de trabajo a nivel mundial.
CVE-2025-32463 afecta a Sudo versiones desde la 1.9.14, introduciendo un fallo que permite a usuarios sin privilegios ejecutar comandos con privilegios de root incluso aunque no estén en el archivo sudoers. La explotación se basa en la manipulación del fichero /etc/nsswitch.conf en combinación con el uso del parámetro chroot de Sudo. Un atacante crea un archivo nsswitch.conf controlado, utiliza chroot para engañar a Sudo y consigue ejecución privilegiada. El fallo fue corregido en la versión 1.9.17p1, donde se eliminaron las opciones comprometidas.
El principal riesgo es la posibilidad de que cualquier atacante local obtenga acceso total al sistema, comprometiendo de manera completa la seguridad y la integridad de los servidores afectados. Esto puede derivar en robo de información, instalación de malware o persistencia para ataques posteriores. El hecho de que ya exista una prueba de concepto (PoC) pública y explots en circulación incrementa el nivel de amenaza, tanto para infraestructuras críticas como para despliegues empresariales y usuarios individuales.
Se recomienda actualizar Sudo urgentemente a la versión 1.9.17p1 o superior. Es fundamental revisar el catálogo KEV de CISA y aplicar las mejoras de configuración sugeridas, restringiendo los accesos al sistema y monitorizando actividades sospechosas. Además, se aconseja deshabilitar funcionalidades innecesarias y realizar auditorías sobre configuraciones de seguridad previas a la corrección.
La rápida aplicación de parches y la vigilancia continua son críticas para frenar la explotación de CVE-2025-32463. Los equipos de TI deben priorizar la actualización de Sudo y consultar fuentes oficiales, como el KEV de CISA y el NIST, para evaluar riesgos actuales y futuros. La prevención eficaz reduce la superficie de ataque y refuerza la resiliencia organizacional.
Más información
- Vulnerabilidad CVE-2025-32463 en NIST: https://nvd.nist.gov/vuln/detail/CVE-2025-32463
- Alerta de CISA sobre CVE-2025-32463: https://www.cisa.gov/news-events/alerts/2025/09/30/cisa-adds-new-vulnerabilities-known-exploited-vulnerabilities-catalog
- Noticia original en SecurityWeek: https://www.cisa.gov/news-events/alerts/2025/09/30/cisa-adds-new-vulnerabilities-known-exploited-vulnerabilities-catalog