Dos vulnerabilidades recientemente descubiertas en el comando Sudo ponen en entredicho la seguridad de muchas de las principales distribuciones de Linux. Fácilmente explotables por usuarios locales sin privilegios, estas fallas proporcionan acceso root casi instantáneo, lo que facilita la vulnerabilidad de los sistemas afectados. Estas vulnerabilidades resaltan la importancia crucial de las actualizaciones rápidas y una protección robusta para todos los entornos Linux, ya sean servidores o estaciones de trabajo. Con Linux presente en todas partes, desde servidores empresariales hasta sistemas embebidos, el comando Sudo desempeña un papel fundamental. Permite a usuarios limitados ejecutar ciertos comandos con privilegios root, lo que justifica lo que se conoce como el principio del mínimo privilegio. Sin embargo, cuando la seguridad de esta herramienta se ve comprometida, el riesgo se vuelve crítico. Dos vulnerabilidades, CVE-2025-32462 y CVE-2025-32463, exponen fallas de escalada de privilegios locales. Estas vulnerabilidades son aún más alarmantes porque afectan a una versión ampliamente utilizada de Sudo, de la 1.8.8 a la 1.9.17. Esto significa que la gran mayoría de las distribuciones, desde Ubuntu hasta Red Hat, incluyendo Debian, SUSE y Amazon Linux, deben aplicar los parches disponibles desde el lanzamiento de la versión 1.9.17p1. Exploremos en detalle cómo funcionan estas vulnerabilidades, sus consecuencias y las mejores prácticas para protegerse. Análisis técnico de vulnerabilidades críticas de Sudo que afectan el acceso root La primera vulnerabilidad destacada, CVE-2025-32462, se basa en un fallo en el manejo de la opción -h. Opción (host). Esta opción, introducida en 2013, permite especificar el nombre de host bajo el cual se autorizan los privilegios de sudo. En concreto, permite a ciertos usuarios ejecutar comandos solo en equipos específicos. Sin embargo, el error, que pasó desapercibido durante más de 12 años, ahora permite a un usuario local ejecutar comandos en su equipo local que solo están autorizados en equipos remotos referenciados en el archivo sudoers. Esta falla es especialmente crítica en entornos donde un archivo sudoers común se distribuye entre varios equipos, una práctica común en grandes infraestructuras que utilizan LDAP o SSSD para la gestión centralizada de privilegios de sudo. Un usuario malintencionado puede explotar esta vulnerabilidad para eludir las restricciones y realizar acciones administrativas en su propio equipo sin los privilegios necesarios, suplantando la identidad de otro equipo. Origen: Mal manejo de la opción -h (host) en sudoers Duración: Existe desde septiembre de 2013 Impacto: Ejecución de comandos autorizados para un host remoto en la máquina local Entornos afectados:
Sistemas de archivos sudoers distribuidos, LDAP, SSSD Puntuación CVSS: 2.8 (Baja a moderada, pero exploit relevante en un contexto específico) Paralelamente, la segunda vulnerabilidad,CVE-2025-32463
, presenta una gravedad mucho mayor, con una puntuación CVSS de 9.3. Explota la función chroot de Sudo, que permite ejecutar un comando con un directorio raíz modificado (opción –chroot o -R), útil en ciertos escenarios de aislamiento. Sin embargo, este mecanismo de seguridad es la base del problema.
En esta vulnerabilidad, un usuario local sin privilegios puede crear un archivo /etc/nsswitch.conf falso.
En un directorio bajo su control, con la intención de convertirse en la nueva raíz mediante chroot. Sudo eventualmente leerá este archivo en este contexto y podrá cargar una biblioteca compartida maliciosa o ejecutar comandos arbitrarios con privilegios de root. Este ataque no requiere ninguna entrada en el archivo sudoers, lo que lo convierte en una amenaza universal en todas las instalaciones vulnerables con la función chroot habilitada. Origen:Carga de archivos de configuración por parte de sudo bajo el chroot del usuario. Impacto: Escalada directa y completa de privilegios de root para cualquier usuario local.
Requisito para sudoers:
- No se requieren reglas. Alcances:
- Sistemas que usan sudo con la opción chroot. Perspectiva:
- El proyecto Sudo está considerando la eliminación completa de la opción chroot en el futuro. La combinación de estas dos vulnerabilidades plantea importantes preocupaciones sobre la robustez de la gestión de permisos en sistemas Linux, especialmente en el contexto de la creciente adopción de soluciones en la nube y virtualizadas, donde las configuraciones de sudo son más complejas y centralizadas.
- Descubra vulnerabilidades relacionadas con sudo y el acceso root. Descubra cómo estas vulnerabilidades pueden comprometer la seguridad de su sistema y qué medidas tomar para mitigarlas eficazmente. Impacto en las principales distribuciones de Linux e implicaciones para la seguridad del sistema
- Los hallazgos sobre Sudo son amplios, ya que el comando se instala por defecto en prácticamente todas las distribuciones de Linux. Desde sistemas de consumo como Ubuntu, Fedora y Debian, hasta distribuciones empresariales como Red Hat Enterprise Linux, SUSE Linux Enterprise, e incluso variantes basadas en la nube como Amazon Linux y Alpine, todas se ven potencialmente afectadas si no cuentan con la actualización adecuada. La ubicuidad de Sudo en el entorno Linux implica que la mera presencia de vulnerabilidades requiere una respuesta rápida. Los equipos de sistemas deben comprobar sistemáticamente la versión instalada de Sudo, identificar si la máquina utiliza archivos sudoers centralizados o la función chroot, y aplicar parches rápidamente.
Los principales proveedores ya han publicado avisos de seguridad e implementado actualizaciones en sus repositorios oficiales: AlmaLinux 8 y 9Alpine LinuxAmazon Linux Debian GentooOracle Linux
Red Hat SUSE Linux Enterprise Ubuntu
- Estos parches se extienden a la versión 1.9.17p1 de Sudo, que contiene parches específicos para las dos vulnerabilidades críticas. Si no se actualiza, los sistemas quedarán vulnerables a exploits simples por parte de usuarios maliciosos locales, a veces incluso sin privilegios. Para los equipos de administración, esto requiere auditar periódicamente las configuraciones de Sudo mediante comandos como sudo -l para listar los permisos, integrando este enfoque en un programa integral de gestión de seguridad (reforzamiento) y monitorización de vulnerabilidades. Por ejemplo, dominar los comandos esenciales de Sudo es una habilidad esencial. Además, esta alerta reafirma la importancia de estar al tanto de las noticias relacionadas con el kernel y las distribuciones de Linux, en particular con el lanzamiento regular de nuevas versiones que incorporan actualizaciones críticas, como Ubuntu 25.10, que incluye Linux 6.17, optimizado para la seguridad y la estabilidad. Acceda aquí: Ubuntu 25.10 y kernel de Linux 6.17.
- Procedimientos esenciales para corregir las vulnerabilidades de Sudo y garantizar la protección. Aplicar actualizaciones de seguridad sigue siendo el primer paso esencial. Todos los administradores de Linux deben asegurarse de que la versión de Sudo utilizada sea al menos la 1.9.17p1, que contiene el parche publicado a finales de abril. Este parche corrige notablemente el manejo incorrecto de la opción de host y deshabilita la función chroot, que se consideraba problemática. Este es un enfoque típico para actualizar en la mayoría de las distribuciones:
- Identifique la versión actual de Sudo: sudo –version
- Actualice los paquetes del sistema: sudo apt update && sudo apt upgrade sudo
- (Debian/Ubuntu) o
sudo dnf update sudo
Compruebe la nueva versión:
sudo –version debería mostrar v1.9.17p1 o superiorPruebe la funcionalidad de sudoers y evite usar la opción chroot
Reinicie los servicios asociados si es necesario
Para las organizaciones que utilizan archivos sudoers distribuidos mediante LDAP o SSSD, el parche elimina eficazmente la posibilidad de ejecutar comandos originalmente diseñados para otro host. Esto debe verificarse, ya que este escenario es un caso clásico de explotación de la primera vulnerabilidad. Además de la actualización, estas son algunas prácticas recomendadas para limitar los riesgos, incluso en caso de un ataque:
- Limite estrictamente los usuarios en el grupo sudo
- Monitoree los registros y las actividades de sudo en tiempo real
- Evite configuraciones complejas de sudoer basadas en la funcionalidad chroot
- Priorice las actualizaciones periódicas de todos los paquetes del sistema
- Capacite a los usuarios sobre seguridad de contraseñas e higiene digital (consulte el método de restablecimiento de contraseña de Linux)
- La vigilancia es esencial, ya que incluso un sistema actualizado puede verse comprometido por una configuración incorrecta de sudoer o una gestión deficiente de permisos en equipos Linux.
- Descubra las vulnerabilidades relacionadas con sudo y su impacto en el acceso root. Infórmese sobre los riesgos de seguridad y las mejores prácticas para proteger su sistema de posibles exploits.
- Casos prácticos de vulnerabilidades de Sudo y comentarios
- Varios investigadores, incluyendo a Rich Mirch de Stratascale, han demostrado la simplicidad de explotar vulnerabilidades en Sudo. En un contexto típico, un usuario local sin privilegios puede obtener acceso root casi completo con solo unos pocos comandos:
En el caso de CVE-2025-32462, un usuario ignora la suposición de que los usuarios de sudo están distribuidos en varios hosts. Al llamar a sudo con la opción «host» y explotar el fallo, puede ejecutar comandos que deberían estar restringidos a un host remoto en el equipo local. En el caso de CVE-2025-32463, un usuario crea una carpeta raíz falsa que contiene un archivo /etc/nsswitch.conf modificado. Luego, llama a sudo con la opción «chroot» para cargar este archivo y secuestrar la biblioteca compartida, obteniendo así acceso root. Estos ejemplos demuestran que, incluso sin los permisos de sudo declarados en el archivo sudoers, un sistema sin parchear es vulnerable. El ataque es accesible para cualquiera que conozca estos detalles, que son de dominio público desde abril de 2025. El principal riesgo afecta a las máquinas accesibles físicamente o conectadas remotamente, pero que ya han iniciado sesión como usuario local. Las marcas y empresas que operan infraestructuras Linux deben tomar esta vulnerabilidad en serio. Una auditoría completa de la configuración de sudo, así como la verificación de las versiones implementadas, sigue siendo imperativa. Además, medidas adicionales, como la configuración de sistemas de detección de intrusiones (IDS) y el análisis de registros, reducen el riesgo de explotación en tiempo real.
Evolución de la seguridad de Sudo y recomendaciones para usuarios de Linux Ante el problema recurrente de vulnerabilidades en Sudo, el proyecto detrás de esta herramienta ya ha anunciado la eliminación de la función chroot en una próxima versión. Esta decisión busca simplificar el código fuente y limitar los posibles vectores de ataque al eliminar una opción considerada demasiado arriesgada y propensa a errores. Para los administradores y entusiastas de Linux, este desarrollo subraya la importancia de un enfoque proactivo y riguroso en la gestión de privilegios del sistema. Más allá de las soluciones puntuales, proteger el sistema requiere: Un conocimiento profundo de los mecanismos de sudo, sus archivos de configuración y comandos (dominar los comandos Sudo y Su). Supervisión regular de las actualizaciones de la distribución y sus paquetes de seguridad.
Adoptar las mejores prácticas en el sistema de usuarios de sudo, especialmente evitando la asignación excesiva de privilegios. Integrar herramientas de supervisión y auditoría de privilegios de usuario.Concientizar a los usuarios sobre la seguridad de Linux, incluyendo la gestión de contraseñas y acceso.
Para quienes deseen profundizar en sus conocimientos del sistema u optimizar su red local, existen recursos prácticos, como la configuración del servidor DNS Bind9 en una red local o la implementación de bonding en Ubuntu para una mayor robustez de la red.
En el movimiento del software de código abierto, cada publicación sobre vulnerabilidades destaca la vitalidad y capacidad de respuesta de la comunidad Linux. Pero también nos recuerda que la seguridad es, ante todo, una cuestión de atención constante y buenos reflejos, un componente esencial de cualquier administración eficaz y responsable.
Descubra cómo las vulnerabilidades relacionadas con sudo pueden comprometer el acceso root a su sistema. Aprenda las mejores prácticas para proteger su entorno y sus datos de posibles amenazas.
