La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el lunes una falta de seguridad crítica que impacta la utilidad de la tilde de comandos de sudo para los sistemas operativos Linux y de unix a su catálogo de vulnerabilidades explotadas (KEV) conocidas, citando evidencia de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2025-32463 (puntaje CVSS: 9.3), que afecta las versiones de SUDO ayer de 1.9.17p1. Fue revelado por el investigador de Stratascale Rich Mirch en julio de 2025.
“Sudo contiene una inclusión de funcionalidad de una vulnerabilidad de la esfera de control no confiable”, dijo CISA. “Esta vulnerabilidad podría permitir que un atacante circunscrito aproveche la opción -r (–chroot) de sudo para ejecutar comandos arbitrarios como root, incluso si no figuran en el archivo de sudoers”.
Actualmente no se sabe cómo la deficiencia se está explotando en ataques del mundo verdadero y quién puede estar detrás de tales esfuerzos. Todavía se agregan al catálogo de KEV, otros cuatro defectos –
- CVE-2021-21311 – Administrador contiene una vulnerabilidad de falsificación de solicitud del costado del servidor que, cuando se explota, permite que un atacante remoto obtenga información potencialmente confidencial. (Divulgado como explotado por Google Mandiant en mayo de 2022 por un actor de amenaza llamado UNC2903 para atacar a las configuraciones de AWS IMDS)
- CVE-2025-20352 – Cisco IOS e iOS XE contienen una vulnerabilidad de desbordamiento de búfer basada en la pila en el subsistema de protocolo de administración de red simple (SNMP) que podría permitir la abjuración del servicio o la ejecución de código remoto. (Revelado según lo explotado por Cisco la semana pasada)
- CVE-2025-10035 – Fortra Goanywhere MFT contiene una deserialización de la vulnerabilidad de datos no confiable que permite a un actor con una firma de respuesta de deshonestidad falsificada válida para deserializar un objeto improcedente controlado por el actor, que posiblemente conduce a la inyección de comandos. (Revelado como explotado por WatchToWr Labs la semana pasada)
- CVE-2025-59689 – Libraesva Correo electrónico Security Gateway (ESG) contiene una vulnerabilidad de inyección de comando que permite la inyección de comandos a través de un archivo adjunto de correo electrónico comprimido. (Revelado como explotado por Libraesva la semana pasada)
A la luz de la explotación activa, se aconseja a las agencias de rama ejecutiva civil (FCEB) federal que confían en los productos afectados que apliquen las mitigaciones necesarias ayer del 20 de octubre de 2025 para afirmar sus redes.
