De «user» a «root» en un segundo: vulnerabilidad crítica en sudo pone en riesgo a millones de dispositivos
Cibercriminales explotan la vulnerabilidad CVE-2025-32463 para atacar organizaciones; la suya podría ser la próxima.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) incluyó en el catálogo de vulnerabilidades conocidas y explotadas (KEV) un fallo crítico en la popular utilidad Sudo, usada en sistemas Linux y similares a Unix. El error se rastrea como CVE-2025-32463 y tiene una puntuación de 9,3 en CVSS. Afecta a versiones de Sudo anteriores a la 1.9.17p1 y permite a un usuario local, mediante la opción -R (--chroot), ejecutar comandos arbitrarios en nombre del superusuario, incluso si su ejecución no está prevista en la configuración de sudoers. Sobre el problema informó el investigador de Stratascale Rich Mirch a finales de junio de 2025.
Aunque aún no se ha revelado cómo se aplica exactamente la vulnerabilidad en la práctica ni quién está detrás de los ataques, CISA registra casos de explotación en entornos reales. Por ello, la agencia ordenó a las agencias civiles federales eliminar la amenaza antes del 20 de octubre de 2025 para reducir el riesgo de compromiso de las redes.
Además del error en Sudo, se añadieron otras cuatro vulnerabilidades a la lista KEV. La primera — CVE-2021-21311 en la herramienta Adminer, relacionada con SSRF del lado del servidor. Permite a atacantes remotos obtener datos confidenciales y ya fue utilizada por el grupo UNC2903 contra infraestructuras de AWS, según informó Google Mandiant en 2022. La segunda — CVE-2025-20352 en Cisco IOS y IOS XE. Un fallo en el subsistema SNMP puede provocar tanto denegación de servicio como ejecución de código arbitrario; Cisco confirmó su explotación la semana pasada.
La tercera — CVE-2025-10035 en Fortra GoAnywhere MFT. Está relacionada con deserialización insegura y puede permitir la inserción de un objeto propio con posterior ejecución de comandos si un atacante utiliza una respuesta de licencia falsa. La actividad en torno a ella se conoció gracias a watchTowr Labs. La última vulnerabilidad — CVE-2025-59689 en Libraesva Email Security Gateway. El fallo permite inyectar comandos a través de archivos adjuntos comprimidos en correos; la explotación fue confirmada por el propio fabricante.
CISA subraya que la presencia de este tipo de entradas en el KEV indica una alta probabilidad de ataques contra organizaciones que no hayan instalado las actualizaciones. Se recomienda a los proveedores y administradores cerrar de inmediato las vulnerabilidades enumeradas, ya que ya representan una amenaza práctica.
¿Estás cansado de que Internet sepa todo sobre ti?