La falla de Sudo que salta sudoers

Introducción
¿Te imaginas convertirte en root sin estar en sudoers? No es película de hackers: es 2025 y Sudo tiene una grieta que lo permite.

La vulnerabilidad CVE-2025-32463 explota cómo Sudo maneja su opción de chroot (-R). El resultado: cualquier usuario local puede ejecutar código con privilegios de superusuario.

Contexto rápido
Sudo es esa puerta custodiada que te deja “ser root” un ratito. El archivo sudoers dice quién puede pasar y cómo. Pero hay un detalle: al usar –chroot (-R), Sudo entra en un sistema de archivos “aislado” creado por ti. Y aquí viene lo bueno: en ese trayecto, Sudo lee /etc/nsswitch.conf del chroot, no el del sistema real. Si el atacante prepara ese archivo para cargar bibliotecas compartidas maliciosas (a través de NSS), el código se ejecuta… como root. Sin estar en sudoers.

Sección 1: ¿Qué rompe exactamente CVE-2025-32463?
La clave está en la interacción entre -R y la resolución de nombres del sistema (NSS).

• Al invocar Sudo con -R, el binario setuid root “entra” en tu chroot.
• En ese contexto, lee nsswitch.conf del chroot.
• Si ese archivo le “dice” a NSS que cargue módulos desde el chroot, Sudo los carga… con privilegios de root.

Piensa en bajar a una bodega con linterna: confías en el cartel que te guía (nsswitch.conf). Pero si alguien pegó un cartel falso dentro de la bodega (el chroot), terminas en una trampa. Eso es lo que pasa aquí.

¿Lo más inquietante? No hace falta estar en sudoers. El fallo se activa antes de que la política te frene. Y por cierto, no hay reglas especiales que mitiguen si el flujo de carga de NSS ya fue secuestrado.

Mini-resumen
La opción -R de Sudo permite que un usuario local controle qué bibliotecas carga Sudo vía NSS dentro del chroot. Resultado: código root sin estar en sudoers.

Sección 2: Alcance real y por qué debería importarte
Ojo con esto: bajo configuraciones predeterminadas, Ubuntu 24.04 y Fedora 41 están confirmadas como vulnerables. Esto no es un laboratorio exótico: es tu servidor con cuentas locales, tu equipo de desarrollo compartido, tu aula de prácticas, tu CI con runners multiusuario.

Además, esta no viene sola. Hay otra falla, CVE-2025-32462, que juega un papel similar usando –host para escalar privilegios. Si te suena a “juego de la oca” de opciones peligrosas, es porque estamos justo ahí: superficies de ataque en flags que históricamente no recibían tanta atención de seguridad.

Comparación rápida: es como ese nivel secreto en un juego donde una tubería te salta medio mapa. Aquí, el “warp pipe” es -R y el mapa que te saltas es la comprobación de sudoers.

Importante: es una vulnerabilidad de ataque local. No te van a romper el servidor desde Internet sin más, pero si hay cualquier usuario con shell, estamos ante un riesgo de escalada inmediata a root. Es la diferencia entre un susto y un incendio.

Mini-resumen
Distribuciones populares son vulnerables por defecto. Si tienes usuarios locales, el salto a root está a un flag de distancia. Y hay otra CVE hermana con –host.

Sección 3: ¿Qué hacer ya mismo?
La medicina real es simple de decir (y urgente): actualiza Sudo a la versión parcheada. Tu distro ya debería tener avisos de seguridad en 2025.

• Actualiza: aplica los parches de tu proveedor. Prioridad alta si gestionas entornos multiusuario.
• Revisa inventario: identifica dónde hay cuentas con shell (servidores de investigación, HPC, servidores compartidos, jump hosts).
• Monitoreo: agrega alertas para invocaciones de Sudo con -R. Si aparece en logs, investiga.
• Mitigaciones temporales (si el parche tarda):
  • Restringe o suspende accesos locales no esenciales.
  • En entornos críticos, considera retirar temporalmente el bit setuid de /usr/bin/sudo (rompe flujos operativos, úsalo solo como último recurso y en ventanas de mantenimiento).
  • Endurece con políticas MAC (AppArmor/SELinux) para reducir dónde puede cargar bibliotecas el proceso de Sudo; no es bala de plata, pero añade fricción.
• Comunica: si eres el “SRE de guardia”, deja nota al equipo. Los bugs en Sudo afectan procedimientos de emergencia y automatizaciones.

Pequeño caso real: en un equipo de datos con 12 usuarios SSH, el parche salió la misma mañana. Antes de aplicarlo, bloqueamos nuevos accesos, encendimos alertas sobre sudo -R y dimos una ventana de mantenimiento de 20 minutos. Nadie aplaude por decir “esperen”, pero todos agradecen no tener que reimaginar la imagen base desde cero.

Cierre narrativo
La lección no es “Sudo es inseguro”, sino que los bordes del sistema (NSS, chroot, resolución de nombres) también son perímetros de seguridad. A veces, la puerta principal está blindada, pero la portilla de servicio quedó con el pasador flojo. Parchea hoy y, de paso, revisa tus supuestos: ¿qué más confía en archivos “del entorno” sin verificar su procedencia?

CVE-2025-32463 permite ejecutar código como root explotando -R y nsswitch.conf en chroot. Es local pero crítico. Actualiza Sudo ya y endurece accesos.

Introducción
¿Te imaginas convertirte en root sin estar en sudoers? No es película de hackers: es 2025 y Sudo tiene una grieta que lo permite.

La vulnerabilidad CVE-2025-32463 explota cómo Sudo maneja su opción de chroot (-R). El resultado: cualquier usuario local puede ejecutar código con privilegios de superusuario.

Contexto rápido
Sudo es esa puerta custodiada que te deja “ser root” un ratito. El archivo sudoers dice quién puede pasar y cómo. Pero hay un detalle: al usar –chroot (-R), Sudo entra en un sistema de archivos “aislado” creado por ti. Y aquí viene lo bueno: en ese trayecto, Sudo lee /etc/nsswitch.conf del chroot, no el del sistema real. Si el atacante prepara ese archivo para cargar bibliotecas compartidas maliciosas (a través de NSS), el código se ejecuta… como root. Sin estar en sudoers.

Sección 1: ¿Qué rompe exactamente CVE-2025-32463?
La clave está en la interacción entre -R y la resolución de nombres del sistema (NSS).

• Al invocar Sudo con -R, el binario setuid root “entra” en tu chroot.
• En ese contexto, lee nsswitch.conf del chroot.
• Si ese archivo le “dice” a NSS que cargue módulos desde el chroot, Sudo los carga… con privilegios de root.

Piensa en bajar a una bodega con linterna: confías en el cartel que te guía (nsswitch.conf). Pero si alguien pegó un cartel falso dentro de la bodega (el chroot), terminas en una trampa. Eso es lo que pasa aquí.

¿Lo más inquietante? No hace falta estar en sudoers. El fallo se activa antes de que la política te frene. Y por cierto, no hay reglas especiales que mitiguen si el flujo de carga de NSS ya fue secuestrado.

Mini-resumen
La opción -R de Sudo permite que un usuario local controle qué bibliotecas carga Sudo vía NSS dentro del chroot. Resultado: código root sin estar en sudoers.

Sección 2: Alcance real y por qué debería importarte
Ojo con esto: bajo configuraciones predeterminadas, Ubuntu 24.04 y Fedora 41 están confirmadas como vulnerables. Esto no es un laboratorio exótico: es tu servidor con cuentas locales, tu equipo de desarrollo compartido, tu aula de prácticas, tu CI con runners multiusuario.

Además, esta no viene sola. Hay otra falla, CVE-2025-32462, que juega un papel similar usando –host para escalar privilegios. Si te suena a “juego de la oca” de opciones peligrosas, es porque estamos justo ahí: superficies de ataque en flags que históricamente no recibían tanta atención de seguridad.

Comparación rápida: es como ese nivel secreto en un juego donde una tubería te salta medio mapa. Aquí, el “warp pipe” es -R y el mapa que te saltas es la comprobación de sudoers.

Importante: es una vulnerabilidad de ataque local. No te van a romper el servidor desde Internet sin más, pero si hay cualquier usuario con shell, estamos ante un riesgo de escalada inmediata a root. Es la diferencia entre un susto y un incendio.

Mini-resumen
Distribuciones populares son vulnerables por defecto. Si tienes usuarios locales, el salto a root está a un flag de distancia. Y hay otra CVE hermana con –host.

Sección 3: ¿Qué hacer ya mismo?
La medicina real es simple de decir (y urgente): actualiza Sudo a la versión parcheada. Tu distro ya debería tener avisos de seguridad en 2025.

• Actualiza: aplica los parches de tu proveedor. Prioridad alta si gestionas entornos multiusuario.
• Revisa inventario: identifica dónde hay cuentas con shell (servidores de investigación, HPC, servidores compartidos, jump hosts).
• Monitoreo: agrega alertas para invocaciones de Sudo con -R. Si aparece en logs, investiga.
• Mitigaciones temporales (si el parche tarda):
  • Restringe o suspende accesos locales no esenciales.
  • En entornos críticos, considera retirar temporalmente el bit setuid de /usr/bin/sudo (rompe flujos operativos, úsalo solo como último recurso y en ventanas de mantenimiento).
  • Endurece con políticas MAC (AppArmor/SELinux) para reducir dónde puede cargar bibliotecas el proceso de Sudo; no es bala de plata, pero añade fricción.
• Comunica: si eres el “SRE de guardia”, deja nota al equipo. Los bugs en Sudo afectan procedimientos de emergencia y automatizaciones.

Pequeño caso real: en un equipo de datos con 12 usuarios SSH, el parche salió la misma mañana. Antes de aplicarlo, bloqueamos nuevos accesos, encendimos alertas sobre sudo -R y dimos una ventana de mantenimiento de 20 minutos. Nadie aplaude por decir “esperen”, pero todos agradecen no tener que reimaginar la imagen base desde cero.

Cierre narrativo
La lección no es “Sudo es inseguro”, sino que los bordes del sistema (NSS, chroot, resolución de nombres) también son perímetros de seguridad. A veces, la puerta principal está blindada, pero la portilla de servicio quedó con el pasador flojo. Parchea hoy y, de paso, revisa tus supuestos: ¿qué más confía en archivos “del entorno” sin verificar su procedencia?

CVE-2025-32463 permite ejecutar código como root explotando -R y nsswitch.conf en chroot. Es local pero crítico. Actualiza Sudo ya y endurece accesos.