cve-2026-3888 - RunkIntel

# CVE-2026-3888 - Escalação de Privilégios para Root via snapd no Ubuntu > [!high] CVSS 7.8 - Escalação de Privilégio Local para Root via snapd/systemd-tmpfiles > Condição de corrida temporal entre snapd e systemd-tmpfiles permite que qualquer usuário local obtenha acesso root completo no Ubuntu 24.04 LTS e posteriores. ## Visão Geral A [[cve-2026-3888|CVE-2026-3888]] é uma vulnerabilidade de **escalação de privilégio local** no **Ubuntu**, descoberta pela Qualys Threat Research Unit (TRU) e divulgada em março de 2026. A falha explora a interação entre dois componentes padrão do Ubuntu: o daemon **snapd** e o **systemd-tmpfiles**. Um atacante local com qualquer conta de usuário pode aguardar o ciclo de limpeza do diretório `/tmp/.snap` (10-30 dias) para injetar payloads maliciosos que serão executados como root pelo `snap-confine`. O Ubuntu é o sistema operacional Linux mais adotado no Brasil, tanto em desktops corporativos quanto em servidores cloud e DevOps. A janela de exploração temporal - embora relativamente longa - é preocupante em ambientes com ciclos de patching longos, especialmente no setor público brasileiro. > [!latam] Impacto LATAM > O Ubuntu é o sistema Linux padrão em universidades, órgãos públicos, desenvolvedores e infraestruturas cloud brasileiras. Ambientes com ciclos de atualização longos (setor **governo** municipal, **educação**, **saúde**) são os mais vulneráveis - a janela de exploração de 10-30 dias pode ser facilmente atingida antes da aplicação do patch. ## Resumo **CVE-2026-3888** é uma vulnerabilidade de **escalação de privilégios local** encontrada na interação entre o [[snapd]] e o [[systemd]]-tmpfiles em instalações padrão do [[Ubuntu]] Desktop 24.04 LTS e posteriores. A falha permite que um atacante local sem privilégios obtenha acesso **root completo** explorando uma condição de corrida temporal na limpeza de diretórios temporários. A vulnerabilidade foi descoberta pela equipe **Qualys Threat Research Unit (TRU)** e divulgada públicamente em março de 2026. A exploração depende de uma janela temporal específica - entre 10 e 30 dias - para que o diretório `/tmp/.snap` seja limpo pelo systemd-tmpfiles, criando a condição necessária para o ataque. **Pontuação de risco:** - CVSS v3.1: **7.8** (Alto) - Vetor: `AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H` - EPSS: **0.01%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: não listado - Exploit público: não confirmado ## Detalhes Técnicos A falha reside na interação entre dois componentes padrão do Ubuntu: 1. **snap-confine** - responsável pela inicialização do sandbox de aplicações Snap 2. **systemd-tmpfiles** - daemon de limpeza de diretórios temporários ### Mecanismo de exploração O daemon `systemd-tmpfiles` é configurado para limpar o diretório `/tmp/.snap` após um período de inatividade - 30 dias no Ubuntu 24.04 e 10 dias em versões posteriores. Quando essa limpeza ocorre: 1. O atacante detecta que `/tmp/.snap` foi removido pelo cleanup 2. Recria o diretório com **payloads maliciosos** (bibliotecas ou binários) 3. Na próxima inicialização de sandbox pelo `snap-confine`, este realiza **bind mounts como root** dos arquivos maliciosos 4. O código arbitrário é executado no contexto privilegiado do `snap-confine` A complexidade do ataque é **alta** (AC:H) porque requer aguardar o ciclo de limpeza e vencer a condição de corrida, mas não exige nenhuma interação do usuário. ## Exploração **Status atual:** sem exploração ativa confirmada; sem PoC público disponível. Embora a complexidade seja alta, a previsibilidade do ciclo de limpeza do `systemd-tmpfiles` torna a exploração viável para atacantes com acesso local persistente. A Qualys TRU demonstrou a viabilidade em ambiente controlado. ## Impacto Um atacante que explore esta vulnerabilidade com sucesso pode: - **Escalação para root:** obter controle total do sistema como usuário root - **Persistência:** instalar backdoors, rootkits ou miners com privilégios máximos - **Exfiltração de dados:** acessar todos os arquivos do sistema, incluindo credenciais e chaves SSH - **Movimentação lateral:** usar o sistema comprometido como pivot em ambientes corporativos ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Canonical | snapd (Ubuntu 24.04 LTS) | < 2.73+ubuntu24.04.1 | 2.73+ubuntu24.04.1 | | Canonical | snapd (Ubuntu 25.10) | < 2.73+ubuntu25.10.1 | 2.73+ubuntu25.10.1 | | Canonical | snapd (Ubuntu 26.04 LTS) | < 2.74.1+ubuntu26.04.1 | 2.74.1+ubuntu26.04.1 | | Canonical (upstream) | snapd | < 2.75 | 2.75 | **Não afetado:** sistemas sem snapd instalado ou com versões corrigidas aplicadas. ## Mitigação **Patch oficial:** - Advisory: [Ubuntu Security Notice - CVE-2026-3888](https://ubuntu.com/security/CVE-2026-3888) - Data de lançamento do patch: 2026-03-17 **Como aplicar:** 1. Verificar a versão atual: `snap version` 2. Atualizar o snapd: `sudo apt update && sudo apt install snapd` 3. Verificar se a versão corrigida foi instalada: `snap version` 4. Reiniciar o serviço snapd: `sudo systemctl restart snapd` **Mitigações temporárias:** - Monitorar recriação do diretório `/tmp/.snap` com ferramentas de [[auditd]] ou [[inotify]] - Restringir acesso ao sistema para contas locais não essenciais - Configurar o systemd-tmpfiles para manter `/tmp/.snap` (remover regra de cleanup) - Ativar logging adicional para detectar atividade suspeita em `/tmp/.snap` ## LATAM/Brasil O [[Ubuntu]] é o sistema operacional Linux mais utilizado no Brasil, tanto em desktops corporativos quanto em servidores. A adoção massiva nas seguintes áreas amplifica o impacto: - **Setor [[financial]]:** estações de trabalho de desenvolvedores e infraestrutura de automação - **Setor [[government]]:** amplamente adotado em órgãos públicos por ser software livre - **Educação e pesquisa:** distribuição padrão em universidades brasileiras - **Cloud e DevOps:** base de contêineres e VMs em provedores brasileiros A janela de exploração de 10-30 dias é particularmente perigosa em ambientes com ciclos de patching longos, comuns no setor público brasileiro. Organizações devem priorizar a atualização do snapd. ## Referências - [Ubuntu Security Advisory - CVE-2026-3888](https://ubuntu.com/security/CVE-2026-3888) - [Qualys Blog - CVE-2026-3888 Snap Flaw](https://blog.qualys.com/vulnerabilities-threat-research/2026/03/17/CVE-2026-3888-important-snap-flaw-enables-local-privilege-escalation-to-root) - [The Hacker News - Ubuntu CVE-2026-3888](https://thehackernews.com/2026/03/ubuntu-CVE-2026-3888-bug-lets-attackers.html) - [NVD - CVE-2026-3888](https://nvd.nist.gov/vuln/detail/CVE-2026-3888) ## Notas Relacionadas **CVEs relacionados:** [[cve-2021-44731|CVE-2021-44731]] · [[cve-2021-44730|CVE-2021-44730]] **Setores em risco:** [[financial]] · [[government]] **TTPs relacionadas:** [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] · [[t1548-002-bypass-uac|T1548 - Abuse Elevation Control Mechanism]] **Tecnologias:** [[Ubuntu]] · [[snapd]] · [[systemd]]