Уязвимость в Ubuntu дает root-доступ через systemd

Уязвимость в Ubuntu через systemd

Пользователям популярного дистрибутива Ubuntu стоит обратить пристальное внимание на безопасность своих систем. Исследователи обнаружили опасную уязвимость высокого уровня серьезности, которая затрагивает стандартные установки Ubuntu Desktop начиная с версии 24.04. Проблема позволяет злоумышленнику с минимальными привилегиями получить полный root-доступ к компьютеру жертвы.

Технические детали: как работает угроза

Уязвимость, зарегистрированная в базе как CVE-2026-3888 и получившая 7,8 балла по шкале CVSS, кроется в неочевидном взаимодействии двух штатных компонентов системы: инструмента изоляции snap-confine и утилиты для очистки временных файлов systemd-tmpfiles.

Как поясняют эксперты из исследовательского подразделения Qualys Threat Research Unit (TRU), проблема позволяет локальному пользователю без специальных прав повысить свои привилегии до уровня суперпользователя (root). Злоумышленник использует временное окно, которое открывается в определенный момент работы системы, чтобы полностью скомпрометировать хост.

Механизм атаки: охота за временными файлами

Суть проблемы заключается в том, что snap-confine, отвечающий за создание изолированного окружения (песочницы) для Snap-приложений, и systemd-tmpfiles, который автоматически удаляет устаревшие временные данные из папок вроде /tmp, /run и /var/tmp, работают несогласованно.

Атака развивается по следующему сценарию и требует от злоумышленника терпения:

1. Ожидание очистки. Сначала атакующий ждет, пока демон очистки системы удалит критически важную для snap-confine директорию /tmp/.snap. В зависимости от версии Ubuntu этот процесс может занять от 10 до 30 дней (30 дней в версии 24.04 и 10 дней в более новых релизах).

2. Подмена данных. Сразу после удаления оригинальной папки злоумышленник создает на ее месте новую директорию, но уже с собственным вредоносным содержимым.

3. Эскалация привилегий. При следующей инициализации песочницы Snap-приложения, snap-confine по-прежнему пытается использовать эту директорию, но теперь монтирует файлы злоумышленника, наделяя их правами root. Это открывает путь для выполнения произвольного кода с максимальными привилегиями.

Важно отметить, что для проведения атаки не требуется взаимодействия с пользователем, а злоумышленнику достаточно низкого уровня доступа к системе. Единственным усложняющим фактором является необходимость точно рассчитать временное окно между удалением оригинальной папки и монтированием поддельной.

Дополнительная угроза: проблема в coreutils

В довершение ко всему, специалисты Qualys обнаружили еще одну уязвимость, связанную с состоянием гонки (race condition), в пакете утилит uutils coreutils. Эта ошибка позволяет локальному атакующему подменять записи в директориях на символические ссылки (symlinks) во время выполнения задач cron от имени root.

Успешная эксплуатация этой проблемы может привести к произвольному удалению файлов с root-правами или стать еще одним вектором для повышения привилегий через директории Snap-песочницы.

Как защититься: исправленные версии

Разработчики уже выпустили патчи, закрывающие уязвимость CVE-2026-3888. Пользователям настоятельно рекомендуется обновить пакет snapd до следующих версий:

• Ubuntu 24.04 LTS: версии snapd до 2.73+ubuntu24.04.1 (уязвимы), обновление закрывает брешь.

• Ubuntu 25.10 LTS: версии snapd до 2.73+ubuntu25.10.1.

• Ubuntu 26.04 LTS (Dev): версии snapd до 2.74.1+ubuntu26.04.1.

• Upstream snapd: версии до 2.75.

Что касается проблемы в uutils coreutils, она была обнаружена и устранена еще до публичного релиза Ubuntu 25.10. Разработчики оперативно отреагировали: в сборке 25.10 стандартная команда rm была возвращена к версии от GNU coreutils, что полностью нивелировало риск. Соответствующие исправления уже внесены в репозиторий uutils.