Les pirates exploitent activement une vulnérabilité critique (CVE-2025-32463) dans le package sudo qui permet l’exécution de commandes avec des privilèges de niveau racine sur les systèmes d’exploitation Linux.
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté cette vulnérabilité à son catalogue de vulnérabilités exploitées connues (KEV), la décrivant comme “une inclusion de fonctionnalités provenant d’une sphère de contrôle non fiable.”
CISA a donné aux agences fédérales jusqu’au 20 octobre pour appliquer les mesures d’atténuation officielles ou cesser d’utiliser sudo.
Un attaquant local peut exploiter cette faille pour augmenter les privilèges en utilisant l’option-R (ch chroot), même s’ils ne sont pas inclus dans la liste sudoers, un fichier de configuration qui spécifie quels utilisateurs ou groupes sont autorisés à exécuter des commandes avec des autorisations élevées.
Sudo (”superuser do ») permet aux administrateurs système de déléguer leurs pouvoirs à certains utilisateurs non privilégiés tout en enregistrant les commandes exécutées et leurs arguments.
Officiellement divulgué le 30 juin, CVE-2025-32463 affecte les versions 1.9.14 à 1.9.17 de sudo et a reçu un score de gravité critique de 9,3 sur 10.
“Un attaquant peut tirer parti de l’option-R (ch chroot) de sudo pour exécuter des commandes arbitraires en tant que root, même si elles ne sont pas répertoriées dans le fichier sudoers”, explique l’avis de sécurité.
Rich Mirch, un chercheur de la société de services de cybersécurité Stratascale qui a découvert CVE-2025-32463, a noté que le problème affectait la configuration sudo par défaut et pouvait être exploité sans règles prédéfinies pour l’utilisateur.
Le 4 juillet, Mirch a publié un exploit de preuve de concept pour la faille CVE-2025-32463, qui existe depuis juin 2023 avec la sortie de la version 1.9.14.
Cependant, d’autres exploits ont circulé publiquement depuis le 1er juillet, probablement dérivés de la rédaction technique.
CISA a averti que la vulnérabilité CVE-2025-32463 dans sudo est exploitée dans des attaques réelles, bien que l’agence n’ait pas précisé les types d’incidents dans lesquels elle a été exploitée.
Il est conseillé aux organisations du monde entier d’utiliser le catalogue de vulnérabilités exploitées connues de CISA comme référence pour hiérarchiser les correctifs et mettre en œuvre d’autres mesures d’atténuation de la sécurité.