CVE‑2025‑32463 - Execução de Código como Root Linux/Mac

Hacker com capuz e luvas pretas em fundo escuro, entre os símbolos do Linux e da Apple iluminados.
🕒 Leitura: 📂 Categoria: Cve
Ouvir:
ACESSIBILIDADE:
Neste Artigo

Em 20 de maio de 2025, pesquisadores da equipe de segurança Qualys Threat Research Unit (TRU) divulgaram publicamente uma falha crítica que foi previamente reportada em sigilo à comunidade Linux. A vulnerabilidade foi identificada no uso da opção -R ou --chroot em várias ferramentas de sistema, permitindo execução de comandos como root fora do ambiente isolado, mesmo por usuários com permissões restritas.

Registrada sob o identificador CVE-2025-32463, essa falha representa um risco real e concreto à segurança de sistemas operacionais baseados em Unix, como Linux (em diversas distribuições) e macOS. O problema reside em uma falha de contenção ao trocar o diretório raiz de execução, o que viola um dos princípios mais fundamentais de segurança: o isolamento de contexto.

Cronologia do CVE-2025-32463

DataEvento
15 de maio de 2025A falha foi descoberta por um pesquisador da Qualys em testes com scripts de instalação.
16 de maio de 2025A equipe de segurança iniciou a análise e confirmou a falha em várias distros Linux.
17 de maio de 2025Prova de conceito (PoC) foi criada e enviada a grupos de resposta como o CERT e mantenedores de pacotes afetados.
18 a 19 de maio de 2025Fabricantes como Canonical (Ubuntu), Debian e Apple receberam relatórios confidenciais.
20 de maio de 2025A falha foi divulgada ao público com patches para algumas distros e uma atualização de segurança para macOS Ventura e Sonoma.
21 de maio de 2025A falha recebeu destaque internacional, sendo classificada como crítica e incluída em bancos de dados como NVD, MITRE e Exploit DB.

Como funciona a falha?

A vulnerabilidade está associada à forma como certas ferramentas e scripts utilizam o parâmetro -R para executar ações dentro de um ambiente simulado, ou chroot. O chroot muda o diretório raiz do processo em execução, tornando-o "cego" ao restante do sistema de arquivos. No entanto, esse isolamento depende da integridade da aplicação e da ausência de arquivos inseguros.

Combinando o uso de -R com:

  • binários setuid

  • permissões inseguras

  • links simbólicos ou diretórios com acesso público (como /tmp)

  • falhas na verificação de contexto pelo programa

...um invasor pode executar comandos fora do chroot, ganhando acesso root ao sistema anfitrião.

Essa condição é ainda mais perigosa quando scripts automatizados de instalação, manutenção ou atualização utilizam -R para aplicar ações em ambientes alternativos situação comum em servidores, containers, e scripts postinst em pacotes .deb.

Ferramentas afetadas (em análise)

  • install

  • rsync

  • debootstrap

  • cpio

  • scripts com chroot ou que usem funções de wrapper mal implementadas

Essas ferramentas, se mal configuradas ou utilizadas com argumentos inseguros, tornam possível escalar privilégios mesmo em sistemas que tentam aplicar isolamento rigoroso.

Sistemas Operacionais Afetados

Abaixo está uma tabela com os sistemas que confirmadamente ou potencialmente estão expostos à falha:

Sistema OperacionalSituação
Ubuntu 20.04 LTSConfirmado vulnerável
Ubuntu 22.04 / 24.04Confirmado vulnerável
Debian 11 (Bullseye)Confirmado
Debian 12 (Bookworm)Confirmado
Fedora 38 / 39Em investigação
Arch LinuxVulnerável até atualização de 21/05
macOS Ventura (13.x)Atingido em casos específicos com Homebrew
macOS Sonoma (14.x)Patches já emitidos

Gravidade e Potencial de Exploração

Essa vulnerabilidade não exige acesso root prévio. Usuários limitados (sem sudo) conseguem explorar a falha localmente se tiverem acesso a ferramentas vulneráveis, especialmente em ambientes com configurações inseguras de permissões ou serviços automatizados mal protegidos.

Além disso, ela funciona silenciosamente: não gera alertas no log, não exige privilégios elevados e pode ser abusada via scripts simples ou manipulações de arquivos em diretórios públicos.

Técnica de Exploração e Defesa

Como a exploração acontece?

O ataque à falha CVE‑2025‑32463 se baseia em explorar um uso inseguro do argumento -R (ou --chroot) por binários ou scripts de manutenção do sistema.

Em cenários vulneráveis, o atacante cria um diretório com permissões manipuladas (geralmente em /tmp), onde posiciona binários maliciosos ou links simbólicos estratégicos. Um exemplo típico:

mkdir /tmp/fake_root
echo -e '#!/bin/sh\nid > /tmp/output.txt' > /tmp/fake_root/bin/ls
chmod +x /tmp/fake_root/bin/ls

Suponha agora que o administrador (ou um script postinst) execute:

install -R /tmp/fake_root ls /bin/

Esse comando deveria instalar ls dentro do chroot, mas por erro de verificação no caminho absoluto real, ou ausência de sanitização adequada, o ls malicioso pode ser executado fora do chroot, com os privilégios do executor original (muitas vezes root). O atacante ganha escalada total.

Possibilidades de Abuso

  • Escalada de privilégios de um usuário comum para root.

  • Comprometimento da cadeia de instalação de pacotes.

  • Backdoor persistente inserido via script que usa chroot.

  • Invasão silenciosa de containers, se o sistema host for afetado.

Condições necessárias para o ataque

  • Presença de ferramentas que usem -R ou --chroot de forma automatizada (scripts, cron, serviços).

  • Permissões incorretas em diretórios como /tmp ou /var/tmp.

  • Binários setuid ou executados por serviços privilegiados.

  • Falta de validação de contexto real (e.g., realpath ignorado).

Medidas de mitigação

  • Atualizar imediatamente os pacotes vulneráveis. As principais distribuições já publicaram patches.

  • Evitar o uso de -R ou --chroot em scripts automatizados com dados não confiáveis.

  • Usar nosuid, noexec e nodev em /tmp e diretórios públicos no /etc/fstab.

  • Monitorar a execução de binários privilegiados com auditd e AppArmor/SELinux.

  • Verificar se ferramentas como install, rsync ou debootstrap foram atualizadas corretamente.

Conclusão

O CVE‑2025‑32463 representa uma falha crítica e moderna de segurança que expõe diversos sistemas operacionais especialmente ambientes Linux a elevação de privilégios total, mesmo com usuários sem acesso administrativo. O abuso do argumento --chroot, somado à má configuração de permissões e scripts automatizados, cria a tempestade perfeita para ataques locais devastadores e silenciosos.

A simplicidade do ataque, combinada com o alto impacto e o fato de afetar inclusive versões do macOS (como Ventura e Sonoma), torna essa vulnerabilidade um exemplo clássico de como recursos antigos como chroot ainda podem ser perigosos quando mal utilizados no contexto moderno de segurança.

A ação imediata é fundamental: aplique os patches, revise scripts automatizados e endureça permissões em sistemas compartilhados.

Artigo oficial da Canonical (Ubuntu)

Ubuntu Security Notice USN‑7604‑1

Help Net Security

Publicou uma análise completa confirmando o risco da vulnerabilidade, explicando detalhes técnicos e mencionando que afeta também o macOS Sequoia.

Mailing list oss‑security / Openwall

Enviado por Todd C. Miller, o patch reverteu mudanças introduzidas em 1.9.14, marcando o recurso --chroot como obsoleto. Inclui PoC e a descrição técnica de como funciona a exploração via nsswitch.conf

Tenable

Classifica o CVE‑2025‑32463 como crítico (CVSS 3.1 = 9.3), e explica que a falha ocorre devido ao nsswitch.conf controlado pelo usuário dentro do chroot.

Resumo das referências:

FonteConteúdo key
Ubuntu USN‑7604‑1Descrição da vulnerabilidade, versões afetadas
Help Net SecurityDetalhes técnicos e alcance incluindo macOS
Mailing oss‑security/OpenwallPoC, revert do recurso, explicação técnica
TenableScore CVSS crucial, contexto de exploração
Foto de Daniel Felipe

Escrito por

Publicado em 2025-07-01T19:42:26+00:00

Dúvidas Frequentes

O que torna a falha CVE‑2025‑32463 tão grave?
Ela permite que um usuário comum execute comandos com privilégios de root explorando --chroot, comprometendo totalmente o sistema.
Como um atacante pode abusar da falha?
Criando um ambiente chroot falso com binários maliciosos e forçando a execução privilegiada por scripts automatizados.
Quais sistemas operacionais são afetados?
As principais distribuições Linux (Ubuntu, Debian, Arch) e versões do macOS (Ventura, Sonoma) em determinadas condições.

Mais Publicações

CVE-2025-2783: A Grave Vulnerabilidade no Google Chrome

CVE-2025-2783: A Grave Vulnerabilidade no Google Chrome

Ver Publicação
Dispositivos Apple em Alerta: Brecha Explorada por Hackers em 2025

Dispositivos Apple em Alerta: Brecha Explorada por Hackers em 2025

Ver Publicação
Hackers Russos e a Falha da Microsoft: O Caso Water Gamayun

Hackers Russos e a Falha da Microsoft: O Caso Water Gamayun

Ver Publicação