L’Agence de sécurité des cyberspaces et des infrastructures des États-Unis (CISA) a récemment ajouté la vulnérabilité CVE-2025-32463 à son catalogue des vulnérabilités connues exploitées (KEV). Cette faille critique affecte les versions de Sudo antérieures à la 1.9.17p1 et a un score CVSS de 9.3, ce qui la classe dans la catégorie de haute sévérité. Les premières alertes concernant cette vulnérabilité ont été émises en juillet 2025 par le chercheur Rich Mirch de Stratascale.
Une vulnérabilité très grave à résoudre
La CISA avertit que cette vulnérabilité peut être exploitée par des attaquants locaux pour exécuter des commandes arbitraires avec des privilèges root, en tirant parti de l’option -R (–chroot) de Sudo, même si ces commandes ne sont pas répertoriées dans le fichier sudoers. Cela en fait un vecteur d’attaque potentiellement dévastateur pour les systèmes qui dépendent de Sudo pour la gestion des privilèges.
Selon des rapports récents, il existe des preuves d’une exploitation active de cette vulnérabilité dans le monde réel, bien que les détails exacts sur la manière dont ces attaques sont menées et qui en sont les responsables n’aient pas encore été clarifiés. Ce manque d’informations peut indiquer l’urgence avec laquelle les administrateurs système doivent agir pour atténuer le risque.
Les agences de la branche exécutive civile fédérale (FCEB) sont particulièrement averties de mettre en œuvre des mesures d’atténuation avant le 20 octobre 2025, afin de protéger leurs réseaux contre d’éventuelles intrusions. En plus de CVE-2025-32463, la CISA a également inclus dans son catalogue quatre autres vulnérabilités, ce qui souligne l’importance de la cybersécurité dans le paysage actuel.
Les administrateurs systèmes sont invités à revoir leurs implémentations de Sudo et à appliquer toutes les mises à jour nécessaires pour assurer l’intégrité de leurs réseaux face à cette menace et à d’autres menaces imminentes. Une attention rapide à ces avertissements pourrait faire la différence dans la prévention d’intrusions significatives.
