Một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các cài đặt mặc định của Ubuntu Desktop phiên bản 24.04 trở lên có thể bị khai thác để leo thang đặc quyền lên cấp độ root.
Được theo dõi là CVE-2026-3888 (điểm CVSS: 7.8), vấn đề này có thể cho phép kẻ tấn công kiểm soát một hệ thống dễ bị tổn thương.
"Lỗ hổng này (CVE-2026-3888) cho phép kẻ tấn công cục bộ không có đặc quyền leo thang đặc quyền lên toàn quyền truy cập root thông qua sự tương tác của hai thành phần hệ thống tiêu chuẩn: snap-confine và systemd-tmpfiles," Qualys Threat Research Unit (TRU) cho biết. "Mặc dù khai thác đòi hỏi một khoảng thời gian cụ thể (10–30 ngày), nhưng tác động cuối cùng là sự xâm nhập hoàn toàn hệ thống máy chủ."
Qualys lưu ý rằng vấn đề bắt nguồn từ sự tương tác ngoài ý muốn giữa snap-confine, thành phần quản lý môi trường thực thi cho các ứng dụng snap bằng cách tạo ra một sandbox, và systemd-tmpfiles, thành phần tự động dọn dẹp các tệp và thư mục tạm thời (ví dụ: /tmp, /run và /var/tmp) cũ hơn một ngưỡng xác định.
Các phiên bản đã được vá lỗi
Lỗ hổng đã được vá trong các phiên bản sau:
- Ubuntu 24.04 LTS - các phiên bản snapd trước 2.73+ubuntu24.04.1
- Ubuntu 25.10 LTS - các phiên bản snapd trước 2.73+ubuntu25.10.1
- Ubuntu 26.04 LTS (Dev) - các phiên bản snapd trước 2.74.1+ubuntu26.04.1
- Upstream snapd - các phiên bản trước 2.75
Cuộc tấn công yêu cầu đặc quyền thấp và không cần tương tác của người dùng, mặc dù độ phức tạp của cuộc tấn công cao do cơ chế trì hoãn thời gian trong chuỗi khai thác.
"Trong các cấu hình mặc định, systemd-tmpfiles được lên lịch để xóa dữ liệu cũ trong /tmp," Qualys cho biết. "Kẻ tấn công có thể khai thác điều này bằng cách thao túng thời gian của các chu kỳ dọn dẹp này."
Cách thức tấn công
Cuộc tấn công diễn ra theo cách sau:
- Kẻ tấn công phải đợi daemon dọn dẹp của hệ thống xóa một thư mục quan trọng (/tmp/.snap) mà snap-confine yêu cầu. Thời gian mặc định là 30 ngày trong Ubuntu 24.04 và 10 ngày trong các phiên bản sau.
- Khi bị xóa, kẻ tấn công tạo lại thư mục với các payload độc hại.
- Trong quá trình khởi tạo sandbox tiếp theo, snap-confine bind mounts các tệp này với quyền root, cho phép thực thi mã tùy ý trong ngữ cảnh đặc quyền.
Lỗ hổng Race Condition trong uutils coreutils
Ngoài ra, Qualys cho biết họ đã phát hiện một lỗ hổng race condition trong gói uutils coreutils cho phép kẻ tấn công cục bộ không có đặc quyền thay thế các mục thư mục bằng symbolic links (hay còn gọi là symlinks) trong quá trình thực thi cron do root sở hữu.
"Khai thác thành công có thể dẫn đến việc xóa tệp tùy ý với quyền root hoặc leo thang đặc quyền hơn nữa bằng cách nhắm mục tiêu vào các thư mục snap sandbox," công ty an ninh mạng cho biết. "Lỗ hổng đã được báo cáo và giảm thiểu trước khi phát hành công khai Ubuntu 25.10. Lệnh rm mặc định trong Ubuntu 25.10 đã được khôi phục về GNU coreutils để giảm thiểu rủi ro này ngay lập tức. Các bản sửa lỗi Upstream đã được áp dụng cho kho lưu trữ uutils."
