# CVE-2021-44731 > [!medium] Escalada de Privilégios no snapd - Race Condition para Root > CVE-2021-44731 é uma vulnerabilidade de race condition no snap-confine do snapd (Ubuntu) que permite a usuários locais sem privilégios obter acesso root, com exploit público disponível denominado "dirty_sock v3". ## Visão Geral CVE-2021-44731, conhecida informalmente como "dirty_sock v3", é uma vulnerabilidade de race condition no componente `snap-confine` do sistema de pacotes Snap do Ubuntu (snapd). A falha permite que um usuário local com acesso básico ao sistema explore a condição de corrida durante a criação de diretórios temporários para escalar privilégios até root. A vulnerabilidade é uma continuação lógica das falhas "dirty_sock" anteriores (CVE-2019-7304) no snapd, demonstrando a dificuldade de corrigir completamente este vetor de ataque. Embora o vetor seja local (AV:L), a combinação com qualquer falha de execução remota de código em servidores Ubuntu — plataforma dominante em ambientes cloud — torna CVE-2021-44731 um componente relevante em cadeias de ataque. O exploit público disponível torna a exploração acessível a atores com capacidade técnica moderada. O Canonical lançou correção na versão snapd 2.54.3 em fevereiro de 2022. Ambientes Ubuntu que utilizam snapd e não foram atualizados permanecem vulneráveis. > [!latam] Relevância para o Brasil > O Ubuntu é a distribuição Linux dominante em ambientes de servidores e cloud no Brasil, amplamente adotado em instâncias AWS, Azure e GCP. A combinação de CVE-2021-44731 com vulnerabilidades de aplicação web em servidores Ubuntu permite escalada de privilégios até root — vetor relevante em campanhas contra infraestrutura cloud brasileira. ## Detecção e Defesa - Atualizar snapd para versão 2.54.3 ou superior: `sudo apt update && sudo apt upgrade snapd` — [[m1051-update-software|M1051 Update Software]] - Monitorar chamadas ao `snap-confine` com parâmetros suspeitos via auditd — [[t1068-exploitation-for-privilege-escalation|T1068]] - Implementar AppArmor para restringir capacidades do snap-confine — [[m1048-application-isolation-and-sandboxing|M1048]] - Verificar se o snapd é necessário no ambiente; remover se não utilizado para reduzir superfície de ataque — [[m1042-disable-or-remove-feature-or-program|M1042]] - Usar sistemas de detecção de intrusão em runtime (Falco) para alertar sobre escalonamentos de processo — [[t1055-process-injection|T1055]] ## Referências - [Qualys Security Advisory QSA-2022-01-25](https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-CVE-2021-4034) - [NVD - CVE-2021-44731](https://nvd.nist.gov/vuln/detail/CVE-2021-44731)