Millones de sistemas Linux y Unix se han visto expuestos a graves riesgos de seguridad debido a la aparición de dos vulnerabilidades en Sudo, una herramienta fundamental que permite a usuarios ejecutar comandos con permisos elevados de manera controlada. Estas fallas, identificadas como CVE-2025-32462 y CVE-2025-32463, han sido analizadas y reportadas recientemente por expertos en ciberseguridad, alertando sobre su impacto y la urgencia de aplicar parches.

El descubrimiento ha puesto en alerta a administradores de sistemas y empresas, ya que Sudo está presente de forma predeterminada en la mayoría de distribuciones GNU/Linux y sistemas similares, como macOS. Ambos errores permiten la escalada de privilegios desde cuentas sin permisos administrativos, comprometiendo la integridad de los equipos afectados.

¿Qué es Sudo y por qué es tan importante?

Sudo es una utilidad imprescindible en entornos Unix, utilizada para ejecutar tareas administrativas sin necesidad de iniciar sesión como root. Esta herramienta ofrece control detallado sobre qué usuarios pueden ejecutar determinadas órdenes, ayudando a mantener el principio de menor privilegio y registrando todas las acciones para su auditoría.

La configuración de Sudo se gestiona desde el archivo /etc/sudoers, permitiendo definir reglas específicas según usuario, comando u host, una práctica común para reforzar la seguridad en grandes infraestructuras.

Detalles Técnicos de las Vulnerabilidades de Sudo

CVE-2025-32462: fallo en la opción host

Esta vulnerabilidad llevaba más de una década camuflada en el código de Sudo, afectando a versiones estables desde la 1.9.0 hasta la 1.9.17 y a versiones legacy desde la 1.8.8 hasta la 1.8.32. Su origen radica en la opción -h o --host, que inicialmente debería limitarse a listar privilegios para otros equipos pero, debido a un fallo de control, puede utilizarse para ejecutar comandos o editar ficheros como root en el propio sistema.

El vector de ataque aprovecha configuraciones específicas en las que se restringen las reglas de Sudo a determinados hosts o patrones de hostname. Así, un usuario local puede engañar al sistema simulando que ejecuta órdenes en otro host permitido y conseguir acceso root sin precisar un exploit complejo.

La explotación de este bug resulta especialmente preocupante en entornos empresariales, donde las directivas Host o Host_Alias son habituales para segmentar accesos. No requiere código de explotación adicional, basta con invocar Sudo con la opción -h y un host permitido para eludir restricciones.

CVE-2025-32463: abuso de la función chroot

En el caso de CVE-2025-32463, la gravedad es mayor: un fallo introducido en la versión 1.9.14 del año 2023 en la función chroot permite a cualquier usuario local ejecutar código arbitrario desde rutas bajo su control, consiguiendo privilegios de administrador.

El ataque se basa en la manipulación del sistema Name Service Switch (NSS). Al ejecutar Sudo con la opción -R (chroot) y establecer como raíz un directorio que controla el atacante, Sudo carga configuraciones y bibliotecas desde este entorno manipulado. Un atacante puede forzar la carga de una biblioteca compartida maliciosa (por ejemplo, a través de /etc/nsswitch.conf falso y una librería preparada en la raíz del chroot) para obtener una shell de root en el sistema. La existencia de este fallo ha sido confirmada en diferentes distribuciones, por lo que es recomendable mantenerse informado con las últimas actualizaciones.

La sencillez de esta técnica ha sido verificada en escenarios reales, usando únicamente un compilador de C para crear la biblioteca y lanzando el comando adecuado con Sudo. No se requiere sofisticación técnica ni explotar configuraciones rebuscadas.

Estas dos vulnerabilidades han sido comprobadas en versiones recientes de Ubuntu, Fedora y macOS Sequoia, aunque otras distribuciones podrían estar igualmente afectadas. Para una mayor protección, es esencial aplicar las actualizaciones recomendadas por los desarrolladores.

Qué deben hacer los administradores y usuarios

La única medida efectiva es actualizar Sudo a la versión 1.9.17p1 o más reciente, ya que en esta edición los desarrolladores han corregido ambos problemas: la opción host ha sido restringida a su uso legítimo y la función chroot ha recibido cambios en la gestión de rutas y bibliotecas. Las principales distribuciones, como Ubuntu, Debian, SUSE y Red Hat, han publicado ya los parches correspondientes y sus repositorios cuentan con versiones seguras.

Los expertos en seguridad recomiendan además auditar los archivos /etc/sudoers y /etc/sudoers.d para localizar posibles usos de las directivas Host o Host_Alias, y para comprobar que no existen reglas que permitan la explotación del bug.

No existen soluciones alternativas eficaces. En caso de no poder actualizar inmediatamente, se recomienda monitorizar muy de cerca los accesos y restricciones administrativas, aunque el riesgo de exposición sigue siendo elevado. Para conocer más sobre las medidas y recomendaciones, consulta esta guía sobre actualizaciones de seguridad en Linux.

Este incidente subraya la importancia de los chequeos periódicos de seguridad y de mantener al día componentes esenciales como Sudo. La existencia de fallos ocultos durante más de una década en una utilidad tan extendida es un fuerte recordatorio de los peligros de confiar ciegamente en herramientas de infraestructura sin una revisión constante.

La detección de estas vulnerabilidades en Sudo subraya la relevancia de contar con estrategias de actualización y auditoría proactivas. Administradores y empresas deben revisar sus sistemas, aplicar los parches disponibles y permanecer atentos ante futuras incidencias en componentes críticos del sistema operativo.