Uma falha de segurança crítica (CVSS 9.3) foi descoberta recentemente no utilitário sudo, uma das ferramentas mais essenciais e onipresentes em sistemas operacionais baseados em Linux e Unix. A vulnerabilidade, rastreada como CVE-2025-32463, permite que um atacante local obtenha o acesso total de root (administrador) no sistema, mesmo que não possua privilégios especiais ou esteja listado no arquivo sudoers.

Conhecida informalmente como a falha "chroot to root" ou "chwoot," esta é uma vulnerabilidade grave que requer atenção imediata por parte de administradores de sistemas. A Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA já a adicionou ao seu catálogo de Vulnerabilidades Conhecidas Exploradas, confirmando que a falha está sendo ativamente explorada em ataques reais.

Como a Falha Funciona

A vulnerabilidade reside na maneira como o sudo lida com a opção -R (ou --chroot), que é usada para executar um comando dentro de um diretório raiz (chroot) alternativo.

Em versões vulneráveis, o sudo falhava ao verificar a segurança de alguns arquivos de configuração antes de entrar no ambiente chroot. Especificamente, o utilitário utilizava o arquivo de configuração /etc/nsswitch.conf encontrado no diretório controlado pelo usuário (o chroot) em vez do arquivo de sistema legítimo.

A Exploração:

* Um atacante local, com um usuário de baixo privilégio, cria um diretório chroot.
* Dentro desse diretório, o atacante coloca um arquivo malicioso nsswitch.conf e uma biblioteca compartilhada (libnss_*.so) especialmente criada.
* Ao executar o sudo com a opção -R apontando para seu diretório chroot, o sudo (que está sendo executado com privilégios de root) é enganado para carregar e executar o código da biblioteca maliciosa.
* O código malicioso é então executado com os privilégios de root, permitindo que o atacante execute comandos arbitrários e assuma o controle total do sistema.

A natureza desta falha é particularmente perigosa porque dispensa a necessidade de qualquer credencial de usuário para o escalonamento, tornando-a uma ferramenta de elevação de privilégios extremamente eficaz para atacantes que já obtiveram uma posição inicial no sistema.

Versões Afetadas e Solução

A vulnerabilidade CVE-2025-32463 afeta uma ampla gama de versões do utilitário sudo:

* Todas as versões de 1.9.0 a 1.9.17
* Versões mais antigas, de 1.8.8 a 1.8.32

A solução é simples e urgente:

Aconselha-se fortemente que os administradores de sistemas atualizem o sudo para a versão 1.9.17p1 ou posterior o mais rápido possível. A atualização corrige a lógica de verificação de segurança, garantindo que o sudo não carregue bibliotecas ou configurações de diretórios não confiáveis antes de completar as verificações de privilégio.

Muitas distribuições Linux, incluindo Ubuntu, Debian e Red Hat, já lançaram pacotes de segurança corrigidos. Administradores devem verificar os repositórios oficiais de suas distribuições e aplicar o patch imediatamente.

Recomendações de Ação

* Atualização Imediata: Verifique a versão do sudo em todos os seus sistemas Linux/Unix. Se a versão estiver dentro do intervalo afetado, atualize-a imediatamente para a versão 1.9.17p1 ou superior fornecida pela sua distribuição.
* Monitoramento: Esteja atento a qualquer atividade anômala de usuários locais ou tentativas de execução de sudo com opções não usuais (como a opção -R) em logs de segurança.
* Auditoria: Se não for possível atualizar imediatamente, realize uma auditoria para garantir que as permissões de acesso ao sistema estejam o mais restritamente configuradas possível, embora esta seja apenas uma mitigação temporária.

Esta falha é mais um lembrete crítico de que mesmo os utilitários mais fundamentais e confiáveis do sistema operacional requerem manutenção e patching de segurança contínuos.