Falhas no Sudo: Alerta de Segurança em Sistemas Linux

Falhas no Sudo: Alerta de Segurança em Sistemas Linux

Milhões de usuários de sistemas Linux foram colocados em risco após a descoberta de duas falhas críticas envolvendo o Sudo — um dos utilitários mais essenciais para administração de sistemas Unix-like. As brechas podem permitir que usuários locais elevem seus privilégios e obtenham controle total sobre o sistema, mesmo sem autorização prévia.

As vulnerabilidades, rastreadas como CVE-2025-32462 e CVE-2025-32463, afetam distribuições amplamente utilizadas como Ubuntu, Debian, Red Hat, Fedora, SUSE e AlmaLinux, tornando a ameaça ainda mais abrangente. A primeira falha, considerada de risco moderado, está presente desde 2013 e envolve a forma como hosts são definidos no arquivo sudoers. Em ambientes que compartilham esse arquivo entre vários servidores ou utilizam integrações via LDAP/SSSD, a execução incorreta de comandos pode ocorrer, mesmo que direcionados a máquinas diferentes.

Já a segunda vulnerabilidade é classificada como crítica, com pontuação CVSS de 9.3, e afeta diretamente a opção chroot do Sudo. Ao explorar essa função, um usuário local pode inserir configurações maliciosas em diretórios sob seu controle e induzir o sistema a carregar bibliotecas comprometidas — o que, na prática, resulta em acesso root sem necessidade de senha ou autorização adicional.

O pesquisador Rich Mirch, responsável por parte das descobertas, destacou que o ataque não requer nenhuma modificação no arquivo sudoers para ser bem-sucedido, pois a falha está presente na configuração padrão do utilitário. Segundo ele, essa situação reforça a importância de auditorias regulares, já que brechas antigas e silenciosas ainda podem comprometer severamente a integridade de sistemas modernos.

Distribuições Linux já começaram a disponibilizar patches de correção, incluídos na versão 1.9.17p1 do Sudo, lançada no final de junho de 2025. Além da atualização emergencial, o mantenedor do Sudo, Todd C. Miller, anunciou que o suporte à funcionalidade chroot será completamente removido em versões futuras, por representar riscos desnecessários.

Além dessas falhas, a Stratascale identificou outra brecha que afeta versões estáveis e legadas do sudo (1.9.0 até 1.9.17 e 1.8.8 até 1.8.32). Apesar de ser considerada de baixo impacto, essa falha permaneceu oculta por mais de uma década e está ligada a diretivas específicas com host ou host_alias, especialmente comuns em ambientes corporativos.

Diante da gravidade dos problemas, especialistas recomendam atualização imediata do sudo para a versão 1.9.17p1 ou superior, bem como análises minuciosas em ambientes expostos à internet ou com múltiplos servidores interligados.