Vulnerabilità Sudo Linux: due bug critici scoperti nel 2025

Due vulnerabilità Sudo Linux (CVE-2025-32462 e CVE-2025-32463) consentono escalation di privilegi. Scopri come funzionano e come difendersi.

Nell’eterno dibattito sulla sicurezza dei sistemi operativi, c’è un mito duro a morire: l’idea che macOS e Linux siano per natura immuni da vulnerabilità gravi, contrariamente a Windows, ancora percepito come il sistema del “popolino”. Si tratta di un’idea comoda, rassicurante, ma completamente scollegata dalla realtà tecnica dei fatti. Questo perché ogni architettura esposta è per sua natura vulnerabile. Quando poi si parla di vulnerabilità Sudo Linux, presenti in quasi ogni distribuzione Unix-like, l’attacco diventa non solo possibile, ma potenzialmente devastante.

Due vulnerabilità Sudo Linux nel cuore del sistema
Come funzionano le vulnerabilità Sudo Linux
Best practices contro le vulnerabilità Sudo Linux

A dimostrarlo sono due vulnerabilità recentemente identificate, capaci di concedere privilegi root ad utenti locali non autorizzati. I loro nomi? CVE-2025-32463 e CVE-2025-32462.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Due vulnerabilità Sudo Linux nel cuore del sistema

Il 1° luglio 2025, il team di ricercatori di Qualys Threat Research Unit ha pubblicato l’analisi tecnica di due vulnerabilità critiche annidate nel comando Sudo, da sempre presente nelle principali distribuzioni Linux e Unix-like. Le falle sono state rinominate rispettivamente CVE-2025-32462 e CVE-2025-32463, venendo poi riconosciute come gravi dallo stesso NIST. Queste vulnerabilità Sudo Linux interessano l’esecuzione dei privilegi e il controllo degli accessi, minando la sicurezza locale nei sistemi Unix-like.

Vediamole più da vicino una per volta.

CVE-2025-32462

La prima vulnerabilità scoperta è di tipo privilege escalation causata da un errore nell’opzione –chroot. Un utente locale, anche se non incluso nel file sudoers, può sfruttarla per ottenere privilegi root su sistemi vulnerabili, eseguendo comandi arbitrari senza alcuna autenticazione. Classificata con un punteggio CVSS pari a 2.8 su 10, CVE-2025-32462 si presenta come una vulnerabilità a basso rischio in contesto locale. Tuttavia, è colei che funge da apripista ai possibili attacchi.

CVE-2025-32463

La seconda vulnerabilità è di natura logica e riguarda l’errata applicazione delle restrizioni basate su host nel file sudoers. Un utente con accesso fisico o remoto può aggirare i controlli di autorizzazione ed eseguire comandi anche su host teoricamente non abilitati. A differenza della precedente, CVE-2025-32463 ha ricevuto un punteggio pari a 9.3 su 10 sulla scala CVSS (Common Vulnerabilities Scoring System), che indica un rischio quasi massimo.

Appena diffusa la notizia, Sudo è stato prontamente aggiornato alla versione 1.9.17p1, che di fatto corregge entrambe le vulnerabilità

Come funzionano le vulnerabilità Sudo Linux

Le due vulnerabilità scoperte nel comando Sudo non richiedono complesse tecniche di exploit, né strumenti avanzati. È proprio questo a renderle pericolose, poiché un attaccante locale può combinarle per ottenere privilegi root su sistemi non aggiornati, senza necessità di autenticazione o exploit da remoto. Per comprenderne appieno la gravità, procederemo con una simulazione d’attacco che le vede coinvolte.

Individuazione dell’ambiente vulnerabile

La prima fase dell’attacco richiede la presenza di un sistema che esegue una versione vulnerabile di Sudo, ovvero antecedente alla 1.9.17p1. Il target ideale è un server Linux multiutente, privo di segmentazione, dove sia possibile accedere tramite shell locale o remota. In genere, questi sistemi sono più esposti in ambienti di sviluppo, container condivisi o ambienti virtualizzati.

Bypass dei controlli sudoers (CVE-2025-32462)

L’attaccante sfrutta CVE-2025-32462 per eseguire comandi al di fuori dei limiti previsti nel file sudoers. Normalmente, l’accesso privilegiato è regolato da voci specifiche basate su utenti e host autorizzati. Tuttavia, a causa di un errore nel parsing di queste regole, un utente non autorizzato può impersonare un contesto privilegiato. Il sistema non riesce a distinguere correttamente l’host di origine, permettendo così l’esecuzione di comandi critici.

Privilege escalation tramite chroot (CVE-2025-32463)

Con l’accesso iniziale garantito, entra in gioco CVE-2025-32463. Qui l’attaccante impiega l’opzione –chroot, storicamente pensata per isolare il filesystem. In realtà, su sistemi vulnerabili, questa funzione consente a un utente non presente nel file sudoers di eseguire comandi come root all’interno dell’ambiente chroot. È sufficiente preparare un ambiente minimale con un eseguibile personalizzato e richiamare Sudo con una sequenza di parametri creati ad hoc per eludere i normali controlli di sicurezza.

Esecuzione dei comandi privilegiati

Una volta aggirate le restrizioni sudoers e stabilito il contesto chroot, l’attaccante può eseguire qualsiasi comando con privilegi elevati. Questo include modifiche a file di sistema, creazione di backdoor persistenti, esfiltrazione di dati sensibili o disattivazione dei meccanismi di sicurezza. L’intera operazione può essere completata senza generare alert immediati, soprattutto in ambienti poco monitorati.

Rimozione delle tracce e accesso persistente

L’ultimo step dell’attacco consiste nel mascherare le attività svolte. L’attaccante può eliminare i log locali, rimuovere ogni traccia dai file temporanei e disabilitare gli auditing tool. Può inoltre creare un nuovo utente root camuffato o integrare un accesso SSH personalizzato. In assenza di un sistema SIEM o di policy di controllo degli accessi, la compromissione può restare invisibile per settimane.

Best practices contro le vulnerabilità Sudo Linux

Per difendersi efficacemente dalle due vulnerabilità è necessario adottare misure tecniche specifiche, che garantiscano la chiusura dei punti d’ingresso e la visibilità sugli abusi locali. Di seguito, le pratiche più efficaci da implementare.

Aggiornare immediatamente Sudo alla versione 1.9.17p1.
È la prima e più importante contromisura. Qualsiasi distribuzione Linux che esegue versioni precedenti resta vulnerabile. Il pacchetto aggiornato corregge entrambi i bug, annullando la possibilità di sfruttarli.
Bloccare o monitorare l’uso dell’opzione –chroot.
Se non strettamente necessario, disabilitare l’uso di –chroot nel file sudoers. In alternativa, è possibile applicare un controllo tramite auditing o strumenti di monitoring avanzati, come Auditd o Sysdig.
Rafforzare la configurazione del file sudoers.
Si devono evitare egole generiche o eccessivamente permissive. Verificare host, utenti e comandi autorizzati. In ambienti enterprise, l’uso di Alias e restrizioni per gruppo è essenziale per ridurre il rischio di abuso
Limitare l’acesso locale e segmentare gli ambienti.
Le vulnerabilità descritte possono essere sfruttate solo da utenti locali. Segmentare i contesti operativi, usare container isolati e disabilitare account non essenziali limita drasticamente l’efficacia dell’attacco.
Implementare un sistema di auditing centralizzato.
Ogni comando eseguito con Sudo dovrebbe lasciare una traccia. Log aggregati su SIEM, alert in tempo reale e correlazioni con eventi anomali aiutano a rilevare un abuso prima che produca danni strutturali.

In conclusione

La vulnerabilità Sudo Linux appena analizzate dimostrano quanto anche i tool più radicati possano diventare un rischio in ambienti non aggiornati. Sudo è onnipresente nei sistemi Unix-like e proprio per questo la sua sicurezza non può essere data per scontata. Nessun sistema operativo è immune e nessun privilegio è innocuo quando può essere abusato localmente.

Sebbene le due falle siano state risolte rapidamente tramite aggiornamento, la responsabilità ultima rimane sempre nelle mani di quanti amministrano i sistemi e le infrastrutture. Anche oggi l’exploit più efficace, risiede nella falsa credenza che Linux sia invulnerabile e quindi immune da tutto ciò.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.