Vulnerabilità "chwoot" in sudo: milioni di sistemi Linux a rischio. L'exploit è già online!

Una nuova falla di sicurezza, battezzata chwoot, sta scuotendo la comunità Linux: una vulnerabilità critica nel comando sudo, fondamentale per la gestione dei privilegi nei sistemi Unix-like, consente a utenti non privilegiati di ottenere accesso root in pochi istanti. Il problema risiede in un uso improprio della funzione chroot, che in alcune versioni recenti di sudo può essere sfruttato per eseguire codice malevolo con privilegi elevati. Gli amministratori di sistema sono quindi invitati ad aggiornare immediatamente i loro sistemi.

Un bug nella funzione chroot apre la porta all’escalation di privilegi

sudo è uno strumento essenziale nei sistemi Linux, progettato per permettere l’esecuzione di comandi con privilegi di amministratore in modo controllato. Tuttavia, le versioni dalla 1.9.14 alla 1.9.17 di sudo presentano una falla nella gestione della funzione chroot. Il meccanismo, nato per confinare l’utente in un ambiente isolato, si rivela invece vulnerabile in presenza di una condizione specifica.

Il ricercatore Rich Mirch (Stratascale Cyber Research Unit) ha scoperto che durante l’uso di sudo con chroot, viene invocato Name Service Switch (NSS), che a sua volta carica il file di configurazione /etc/nsswitch.conf. Se un utente malintenzionato riesce a far caricare una libreria .so opportunamente manipolata, può ottenere l’esecuzione di codice arbitrario con privilegi root.

Impatto: milioni di sistemi Linux vulnerabili

La vulnerabilità, identificata con il codice CVE-2025-32463, ha ricevuto un punteggio CVSS di 9,2, un giudizio che la classifica automaticamente come ad elevata criticità. Un exploit proof-of-concept (PoC) è già stato pubblicato, rendendo la minaccia immediatamente concreta. La falla NON è presente nelle versioni precedenti alla 1.8.32 di sudo, ma risulta confermata in numerose distribuzioni Linux moderne.

Debian 12 “Bookworm”, ad esempio, non risulta però vulnerabile poiché utilizza ancora versioni precedenti di sudo non affette dal bug.

Aggiornamenti disponibili: la patch risolutiva è nella versione 1.9.17p1 del comando sudo

La patch correttiva è veicolata attraverso la release 1.9.17p1 di sudo. Le principali distribuzioni stanno già distribuendo i pacchetti aggiornati nei loro repository.

In particolare, Canonical ha applicato la correzione in Ubuntu per tutte le versioni supportate. È fondamentale che gli amministratori non solo aggiornino i sistemi attivi, ma anche le immagini e i template delle macchine virtuali utilizzati per attività di provisioning, in locale così come sul cloud. Ciò, evidentemente, per evitare che nuove istanze delle macchine virtuali “nascano” già vulnerabili.

Consigli pratici

Suggeriamo di verificare subito la versione di sudo utilizzata. Basta impartire il seguente comando nella finestra del terminale:

sudo --version

Eventualmente, in caso di necessità, si può aggiornare il pacchetto sudo alla versione 1.9.17p1 o superiore tramite il package manager della propria distribuzione (apt, dnf, zypper e così via).

È fondamentale, inoltre, rigenerare eventuali immagini di macchina virtuale o container utilizzate per il deployment automatico.

Infine, è consigliabile eseguire un audit dei file /etc/sudoers per escludere combinazioni vulnerabili nei comandi per host. Oltre alla falla chwoot, Mirch ha infatti scoperto un’altra vulnerabilità minore in sudo, tracciata come CVE-2025-32462. Questa permette di aggirare le restrizioni imposte nel file /etc/sudoers attraverso una combinazione astuta di parametri da riga di comando.

Tuttavia, questa vulnerabilità non è attiva nelle configurazioni di default e anche per questo motivo ha ricevuto un punteggio CVSS basso. Era però presente da oltre 12 anni prima e ora risulta finalmente corretta nella versione 1.9.17p1.