En este momento estás viendo ¿Debes desactivar SUDO? Vulnerabilidades críticas y alternativas seguras en Linux

¿Debes desactivar SUDO? Vulnerabilidades críticas y alternativas seguras en Linux

  • Última modificación de la entrada:1 de agosto de 2025
  • Tiempo de lectura:5 minutos de lectura
  • Categoría de la entrada:Blog / Seguridad

¿Por qué plantearse desactivar SUDO?

En los últimos días, se han descubierto dos vulnerabilidades críticas en SUDO, la herramienta más usada en Linux para gestionar permisos administrativos. Identificadas como CVE-2025-32462 y CVE-2025-32463, estas fallas permiten a atacantes locales escalar privilegios y tomar el control del sistema incluso con configuraciones aparentemente seguras.

Si bien SUDO es una herramienta confiable y ampliamente adoptada, esto la ha convertido en un blanco frecuente de exploits. Por eso muchos administradores de sistemas están considerando desactivarlo parcial o totalmente y usar métodos alternativos para gestionar privilegios.

En este artículo, exploraremos qué riesgos plantean estas vulnerabilidades, cómo desactivar SUDO en distintas distribuciones Linux, y algunas de las a lternativas más seguras para gestionar permisos de root.

¿Qué hace tan peligrosas estas vulnerabilidades?

CVE-2025-32462: El fallo en --host

  • Un error en la opción -h o --host permite a usuarios locales ejecutar comandos como root, burlando restricciones basadas en Host_Alias.
  • Afecta a versiones de SUDO desde la 1.8.8 hasta la 1.9.17.
  • Gravedad: Crítica (CVSS 9.1).

CVE-2025-32463: Manipulación de chroot y NSS

  • Un atacante puede crear un entorno chroot falso con bibliotecas maliciosas para obtener una shell de root.
  • Afecta a versiones desde la 1.9.14 a la 1.9.17.
  • Gravedad: Crítica (CVSS 8.8).

Si usas una versión vulnerable y no hay parches disponibles, desactivar SUDO puede ser una medida temporal necesaria; planteárselo de manera permanente, desde luego, es lo más seguro. Para saber qué versión tienes

bash:

sudo --version

¿Cómo desactivar SUDO en tu distribución?

Método 1: Eliminar usuarios del grupo sudo (reversible)

La forma más sencilla de desactivar SUDO sin eliminarlo del sistema:

bash en Debian/Ubuntu:

sudo deluser TU_USUARIO sudo

bash en Fedora/RHEL/CentOS:

sudo gpasswd -d wheel

bash en Arch Linux:

sudo gpasswd -d sudo

De esta manera los usuarios ya no podrán usar sudo, pero el paquete seguirá instalado.

Método 2: Desinstalar SUDO totalmente

Si quieres eliminarlo por completo:

bash en Debian/Ubuntu:

sudo apt purge sudo

bash en Fedora/RHEL:

sudo dnf remove sudo

bash en Arch Linux:

sudo pacman -R sudo

Advertencia: Asegúrate de tener otro método para acceder como root (como su o acceso físico); lo más recomendable es tener una sesión root activa antes de proceder..

Método 3: Bloquear SUDO editando /etc/sudoers

Si prefieres no desinstalarlo sino inhabilitar su uso:

bash

sudo visudo

Y añade:

bash:

# Para deshabilitar el uso de sudo para todos los usuarios:
# Comenta las líneas que otorgan permisos, como:
# %sudo ALL=(ALL:ALL) ALL
# root ALL=(ALL:ALL) ALL

# Nota: La línea 'Defaults !authenticate' hace que no se pida contraseña al usar sudo,
# por lo que, si existe, también debe comentarse o eliminarse.
# Defaults !authenticate

3. Alternativas a SUDO para gestionar permisos

1. Usar su (método tradicional)

Tiene la ventaja de que es más simple, sin vulnerabilidades complejas.

bash:

sudo passwd root  # Establece una contraseña para root  
su -              # Cambia a root (pide contraseña)

Recomendación: restringir el uso de su sólo a usuarios del grupo wheel:

Edita el archivo /etc/pam.d/su y asegúrate de que tenga esta línea (descomenta o añade si no está):

bash:

auth required pam_wheel.so use_uid

Agrega los usuarios de confianza al grupo wheel:

sudo usermod -aG wheel nombre_usuario

2. doas El sucesor minimalista de SUDO

Tiene la ventaja de que tiene menos código lo que resulta en menos vulnerabilidades.

Instalarlo desde bash:

# Debian/Ubuntu:  
sudo apt install opendoas

Configurarlo (/etc/doas.conf):

bash:

permit :wheel # Solo usuarios en el grupo 'wheel' pueden usarlo
deny root # Opcional: evitar acceso directo a root

3. Polkit (para entornos gráficos)

Útil en GNOME, KDE y otros escritorios.

Crear reglas en /etc/polkit-1/rules.d/ para controlar accesos.

Si tienes dudas sobre qué método elegir

SituaciónRecomendación
«Quiero probar sin SUDO»Eliminar usuario del grupo sudo
«Necesito máxima seguridad»Migrar a doas o usar su + PAM
«Uso escritorio gráfico»Polkit + restricciones de grupo
«No quiero eliminar SUDO»Bloquearlo en /etc/sudoers

¿Debes dejar de usar SUDO?

SUDO sigue siendo una herramienta poderosa, pero si:

  • Tienes una versión vulnerable sin parches.
  • Trabajas en entornos de alta seguridad.
  • Prefieres alternativas más simples.

entonces desactivarlo o reemplazarlo puede ser una decisión inteligente.

Fuentes:
Ilustración producción propia con IA
Etiquetas: , , , ,