Uma vulnerabilidade de alta gravidade afeta instalações padrão do Ubuntu Desktop a partir da versão 24.04, permitindo a elevação de privilégios ao nível root.
Identificada como
CVE-2026-3888
e com pontuação CVSS 7,8, essa falha pode ser explorada por um invasor para assumir o controle total do sistema comprometido.
Segundo a Qualys Threat Research Unit (TRU), "essa falha permite que um atacante local sem privilégios eleve seu acesso para root completo por meio da interação entre dois componentes padrão do sistema: snap-confine e systemd-tmpfiles".
Embora o exploit dependa de uma janela temporal específica, que varia entre 10 e 30 dias, seu impacto é o comprometimento total do host.
O problema ocorre devido à interação não intencional entre esses componentes.
O snap-confine gerencia ambientes de execução para aplicações Snap, criando uma sandbox, enquanto o systemd-tmpfiles é responsável por limpar automaticamente arquivos e diretórios temporários, como /tmp, /run e /var/tmp, que ultrapassam um determinado período.
A vulnerabilidade já foi corrigida nas seguintes versões:
- Ubuntu 24.04 LTS: versões do snapd anteriores à 2.73+ubuntu24.04.1
- Ubuntu 25.10 LTS: versões do snapd anteriores à 2.73+ubuntu25.10.1
- Ubuntu 26.04 LTS (em desenvolvimento): versões do snapd anteriores à 2.74.1+ubuntu26.04.1
- Versões upstream do snapd: anteriores à 2.75
O ataque requer privilégios mínimos e não depende da interação do usuário, mas apresenta alta complexidade devido ao mecanismo de delay temporal do exploit.
A Qualys explica que, "nas configurações padrão, o systemd-tmpfiles está programado para remover dados antigos em /tmp.
O invasor pode manipular o timing dessas limpezas para explorar a vulnerabilidade."
O processo do ataque ocorre da seguinte forma:
1. O atacante aguarda o daemon responsável pela limpeza do sistema remover o diretório crítico /tmp/.snap, usado pelo snap-confine.
O período padrão nessa etapa é de 30 dias no Ubuntu 24.04 e 10 dias em versões posteriores.
2. Após a exclusão, o invasor recria o diretório contendo payloads maliciosos.
3. Na próxima inicialização da sandbox, o snap-confine monta esses arquivos com permissões root, permitindo a execução de código arbitrário com privilégios elevados.
Além disso, a Qualys identificou uma condição de corrida (race condition) no pacote uutils coreutils, que possibilita a um atacante local sem privilégios substituir entradas de diretórios por links simbólicos durante execuções do cron com permissão root.
A exploração dessa falha pode levar à exclusão arbitrária de arquivos com privilégios de root ou a uma escalada adicional de privilégios ao atacar diretórios da sandbox Snap.
Essa vulnerabilidade foi reportada e solucionada antes do lançamento público do Ubuntu 25.10.
Para mitigar o risco imediatamente, o comando rm padrão do Ubuntu 25.10 foi revertido para o GNU coreutils, e correções upstream foram aplicadas no repositório uutils.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...