Sudo est un utilitaire central des systèmes Linux/Unix permettant l’élévation contrôlée des privilèges. En juin 2025, deux vulnérabilités ont été publiées : CVE‑2025‑32462 et CVE‑2025‑32463. Cette dernière est la plus critique et a été ajoutée au catalogue Known Exploited Vulnerabilities (KEV), ce qui signifie que des exploitations ont été observées dans la nature.

Portée et versions concernées

• Versions vulnérables : Sudo 1.9.14 à 1.9.17.
• Versions corrigées : 1.9.17p1 et ultérieures.
• Composants visés : systèmes où Sudo supporte /etc/nsswitch.conf et où l’option --chroot est disponible.

Mode opératoire (synthèse technique)

Le comportement introduit à partir de Sudo 1.9.14 autorise, lors de l’usage de --chroot, le chargement de fichiers de configuration et bibliothèques depuis un répertoire contrôlé par l’attaquant (p. ex. un /tmp/chroot préparé). En plaçant un /etc/nsswitch.conf et une bibliothèque libnss_*.so malveillante dans cet environnement, il est possible d’exécuter du code avec les privilèges root même si la commande n’est pas autorisée dans sudoers.

Niveau de menace

• CVSS 3.1 : 9.3 (Critique).
• Exploitation : confirmée (présence au KEV) et PoC publics disponibles.
• Impact : élévation locale de privilèges jusqu’à root, contournement de politiques sudoers, compromission de l’hôte.

Mesures correctives immédiates

1. Mettre à jour Sudo en 1.9.17p1 (ou version supérieure) sur tous les systèmes concernés.
   Note : à partir de 1.9.17p1, la fonctionnalité --chroot est dépréciée et le comportement vulnérable est supprimé.
2. Désactiver/éviter --chroot dans les usages opérationnels, scripts et procédures d’administration tant que la suppression complète n’est pas réalisée.
3. Vérifier les configurations : auditer sudoers et tout wrapper ou script appelant Sudo avec -R. Supprimer ces usages ou les restreindre.
4. Surveillance & détection :
   • Rechercher dans les journaux les invocations de sudo -R / sudo --chroot.
   • Contrôler l’absence de répertoires chroot non autorisés contenant /etc/nsswitch.conf et des libnss_*.so non signées.
   • Déployer des règles EDR / SIEM pour alerter sur l’exécution de bibliothèques libnss depuis des chemins atypiques.

Point de vigilance : menaces Linux récentes

En parallèle, le paysage de la menace sur Linux a vu émerger des portes dérobées modernes (ex. « Plague », module PAM malveillant) qui facilitent la persistance et l’élévation de privilèges. La combinaison d’une compromission initiale et d’une élévation via Sudo augmente fortement le risque opérationnel, d’où l’urgence d’appliquer les correctifs et contrôles ci‑dessus.

Sources

• CISA, « CISA Adds Five Known Exploited Vulnerabilities to Catalog », 29 septembre 2025 : https://www.cisa.gov/news-events/alerts/2025/09/29/cisa-adds-five-known-exploited-vulnerabilities-catalog
• NIST NVD, « CVE‑2025‑32463 Detail », 30 juin 2025 : https://nvd.nist.gov/vuln/detail/CVE-2025-32463
• Rich Mirch, « CVE‑2025‑32462, CVE‑2025‑32463 Sudo chroot, host Option Elevation of Privilege Vulnerabilities », 30 juin 2025 : https://blog.mirch.io/sudo-elevation-of-privilege-vulnerabilities/
• Cyber Security Agency of Singapore, « Active Exploitation of CVE‑2025‑32463 in the Sudo Command-line Utility », 2 octobre 2025 : https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-096/
• Wiz, « CVE‑2025‑32463 Impact, Exploitability, and Mitigation Steps », 2025 : https://www.wiz.io/vulnerability-database/cve/cve-2025-32463
• Nextron Systems, « Plague: A Newly Discovered PAM‑Based Backdoor for Linux », 1 août 2025 : https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/