# CVE-2021-44730 > [!high] Escalada de Privilégio Local no snapd (snap-confine) > CVE-2021-44730 é uma vulnerabilidade de escalada de privilégio local no componente **snap-confine** do snapd. Um invasor local pode abusar de uma race condition para escapar do confinamento e obter acesso root no sistema. ## Visão Geral CVE-2021-44730 afeta o **snap-confine**, binário SUID responsável por inicializar o ambiente de execução de aplicações snap no Linux. A vulnerabilidade, divulgada em fevereiro de 2022 pela Qualys Research Team, decorre de uma hardlink attack aproveitando permissões inadequadas em diretórios temporários utilizados pelo snap-confine. A falha permite que um usuário local sem privilégios eleve suas permissões para root, contornando completamente os mecanismos de confinamento do snapd. O impacto é significativo em sistemas Ubuntu e distribuições que utilizam snapd como gerenciador de pacotes, incluindo servidores e estações de trabalho corporativas. No contexto LATAM, a exploração local ganhou relevância em operações de pós-comprometimento, onde atacantes com acesso inicial limitado buscam elevar privilégios para operações de persistência e exfiltração. Ambientes Ubuntu são amplamente utilizados em infraestrutura de nuvem e DevOps na região. > [!latam] Relevância para Brasil e LATAM > Ubuntu é o sistema operacional Linux mais utilizado em ambientes de desenvolvimento e cloud na América Latina. Organizações brasileiras com pipelines de CI/CD e servidores Ubuntu são alvo potencial de exploração pós-comprometimento via CVE-2021-44730, especialmente em cenários de movimento lateral. ## Detalhes Técnicos A vulnerabilidade está no tratamento de diretórios temporários pelo snap-confine. Durante a criação de um namespace de montagem para um snap, o binário SUID verifica e cria diretórios em `/tmp/snap.XXXX`. Um atacante pode usar hardlinks maliciosos para redirecionar essas operações para caminhos sensíveis do sistema, resultando em execução de código com privilégios root. | Campo | Detalhe | |-------|---------| | Tipo | Local Privilege Escalation (hardlink attack) | | Componente | snap-confine (SUID binary) | | Vetor | AV:L/AC:L/PR:L/UI:N | | CVSS | 8.8 (High) | | Versões afetadas | snapd < 2.54.3 | ## TTPs Relacionadas - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1166-setuid-and-setgid|T1166 - Setuid e Setgid]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1053-scheduled-task-job|T1053 - Scheduled Task/Job]] ## Mitigação - Atualizar snapd para versão 2.54.3 ou superior imediatamente - Aplicar patch do Ubuntu Security Notice USN-5292-1 - Monitorar execuções do binário snap-confine via [[ds-0017-process|DS-0017 - Process]] - Implementar controles de auditoria para operações de montagem com [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - Restringir criação de hardlinks via `fs.protected_hardlinks=1` no sysctl ## Referências - [Ubuntu Security Notice USN-5292-1](https://ubuntu.com/security/notices/USN-5292-1) - [Qualys Research Advisory](https://www.qualys.com/2022/02/17/CVE-2021-44731/oh-snap-local-privilege-escalation.txt) - [NVD - CVE-2021-44730](https://nvd.nist.gov/vuln/detail/CVE-2021-44730)