A vulnerabilidade CVE-2026-3888 afeta instalações padrão do Ubuntu Desktop 24.04 e posteriores, exigindo acesso local de baixo privilégio e uma janela temporal ligada à limpeza de diretórios temporários.
| Componente | Instalações padrão do Ubuntu Desktop 24.04 e posteriores, envolvendo a interação entre snap-confine e systemd-tmpfiles. |
| Vetor | Atacante local sem privilégios explora uma janela temporal de limpeza em /tmp, aguardando a remoção de /tmp/.snap e recriando o diretório antes da próxima inicialização de sandbox. |
| Impacto | Execução de código arbitrário em contexto privilegiado e possível elevação para acesso root completo no sistema vulnerável. |
| Prioridade | Aplicar correções disponíveis, revisar o comportamento de limpeza de diretórios temporários e investigar recriações suspeitas de /tmp/.snap em hosts Ubuntu Desktop afetados. |
| Versões | Ubuntu Desktop 24.04 e versões posteriores são descritos como afetados; o período padrão de limpeza é de 30 dias no Ubuntu 24.04 e de 10 dias em versões posteriores. |
| Artefatos | CVE-2026-3888, snap-confine, systemd-tmpfiles, /tmp/.snap, /tmp, /run, /var/tmp e pacote uutils coreutils. |
A vulnerabilidade CVE-2026-3888, classificada com severidade alta e pontuação CVSS 7.8, afeta instalações padrão do Ubuntu Desktop 24.04 e posteriores. O problema permite que um usuário local sem privilégios eleve permissões até root por meio de uma condição específica envolvendo dois componentes normalmente presentes no sistema: snap-confine, responsável por preparar ambientes de execução para aplicações snap, e systemd-tmpfiles, encarregado de remover arquivos e diretórios temporários antigos em locais como /tmp, /run e /var/tmp. A falha não depende de interação do usuário, mas exige presença local no host e uma cadeia de exploração sensível ao tempo.
O ponto central da vulnerabilidade é a dependência de um diretório temporário usado por snap-confine, identificado como /tmp/.snap, combinado ao ciclo de limpeza automática executado por systemd-tmpfiles. Quando o mecanismo de limpeza remove esse diretório por considerá-lo obsoleto, um atacante local pode recriá-lo com conteúdo controlado antes que uma nova inicialização de sandbox ocorra. Na etapa seguinte, snap-confine pode realizar montagens do tipo bind desses arquivos em contexto root, criando a condição para execução de código arbitrário com privilégios elevados. O impacto confirmado é comprometimento completo do host vulnerável quando a cadeia é explorada com sucesso.
A cadeia de exploração descrita depende de uma janela temporal incomum. Em configurações padrão, systemd-tmpfiles remove dados antigos de /tmp após um intervalo definido. No Ubuntu 24.04, o período informado é de 30 dias; em versões posteriores, o intervalo padrão mencionado é de 10 dias. O atacante precisa esperar que o daemon de limpeza remova /tmp/.snap, diretório crítico para a operação de snap-confine. Essa espera aumenta a complexidade prática da exploração, mas não reduz o impacto final caso o host seja controlado por um usuário local mal-intencionado por tempo suficiente.
Após a remoção do diretório, o atacante recria /tmp/.snap com artefatos preparados para influenciar a próxima inicialização de sandbox. O detalhe relevante para defesa é que a exploração não é descrita como uma simples falha de permissão isolada, mas como uma interação inesperada entre a limpeza de diretórios temporários e a confiança operacional de um componente de confinamento. Durante a inicialização seguinte, snap-confine processa a estrutura recriada e realiza montagens como root. Esse comportamento transforma o controle local sobre o diretório temporário em uma oportunidade de execução privilegiada.
O mesmo contexto também descreve uma condição de corrida no pacote uutils coreutils. Essa falha permite que um atacante local sem privilégios substitua entradas de diretório por links simbólicos durante execuções de tarefas cron pertencentes a root. A consequência indicada é exclusão arbitrária de arquivos como root ou uso dessa primitiva para avançar em direção à elevação de privilégios, especialmente ao mirar diretórios de sandbox do snap. O risco foi mitigado antes do lançamento público do Ubuntu 25.10, e o comando padrão de remoção nessa versão foi revertido para GNU coreutils como medida imediata, com correções posteriores aplicadas no repositório upstream de uutils.
A superfície descrita é local e ligada a estáções ou ambientes que executam Ubuntu Desktop 24.04 ou versões posteriores com configuração padrão. A falha não exige que a vítima clique em conteúdo, abra arquivo ou aprove uma ação interativa. Em contrapartida, o atacante precisa de algum nível de execução local de baixo privilégio no host e precisa permanecer em posição de aproveitar o momento em que a limpeza automática remove o diretório relevante. Esse detalhe torna a vulnerabilidade especialmente importante em ambientes multiusuário, estáções compartilhadas, laboratórios, ambientes de desenvolvimento e sistemas onde contas de baixo privilégio coexistem com dados ou processos sensíveis.
A exposição não deve ser tratada como um vetor remoto confirmado. O material analisado sustenta elevação local de privilégios, não acesso inicial pela rede. O risco operacional aparece quando um atacante já obteve uma conta local, uma sessão limitada, execução de código sem privilégios ou acesso a um usuário com permissões restritas. Nessa condição, a cadeia pode converter presença local limitada em controle root. Para equipes de segurança, a diferença é relevante: a prioridade não é bloquear uma porta de rede específica, mas reduzir a permanência de contas não confiáveis, aplicar correções e monitorar alterações anômalas em diretórios temporários usados por componentes privilegiados.
A condição de corrida envolvendo uutils coreutils amplia a atenção para execuções automatizadas de tarefas como root, especialmente quando operações de remoção atravessam diretórios que podem ser manipulados por usuários locais. O contexto não informa exploração ativa, campanha específica, malware associado ou indicador de rede. Portanto, a avaliação defensiva deve ficar limitada ao comportamento local de arquivos, diretórios, links simbólicos, cron e inicialização de sandboxes snap.
- Ubuntu Desktop 24.04 e posteriores em instalação padrão.
- Hosts onde usuários locais sem privilégios podem criar conteúdo em áreas temporárias.
- Ambientes que dependem de aplicações snap e do fluxo de inicialização de sandbox por
snap-confine. - Sistemas com tarefas cron executadas como root que interagem com diretórios manipuláveis localmente.
A investigação deve começar por eventos locais de sistema de arquivos associados a /tmp/.snap. O comportamento de interesse inclui remoção do diretório por mecanismos de limpeza, recriação logo em seguida por usuário sem privilégios e presença de arquivos ou subdiretórios fora do padrão antes da execução de aplicações snap. Como a exploração depende de tempo, a correlação entre ciclos de systemd-tmpfiles, criação de diretórios em /tmp e inicializações subsequentes de sandbox é mais útil do que buscar um único artefato estático.
Logs de sistema, auditoria de arquivos e telemetria de endpoint devem ser usados para reconstruir a sequência: limpeza automática, recriação manual ou por processo de usuário, execução de snap-confine e mudança de contexto para operações privilegiadas. A existência isolada de /tmp/.snap pode ser normal em sistemas com snap; o sinal relevante é alteração inesperada de propriedade, modo, conteúdo ou momento de criação. Em ambientes com EDR ou auditoria Linux, eventos de criação de links simbólicos próximos a tarefas cron de root também merecem atenção por causa da falha descrita em uutils coreutils.
A caça não deve assumir indicadores de rede, domínios de comando e controle, hashes de malware ou nomes de campanhas, pois esses dados não fazem parte do material analisado. O foco defensivo deve permanecer em eventos de host: manipulação de diretórios temporários, montagens realizadas por processos privilegiados, execução de aplicações snap após recriação de diretórios e exclusões de arquivos iniciadas por rotinas automatizadas com privilégios elevados.
- Remoção e recriação de
/tmp/.snapem intervalo próximo ao ciclo desystemd-tmpfiles. - Criação de conteúdo em
/tmp/.snappor contas locais sem privilégios antes da execução desnap-confine. - Alterações inesperadas de proprietário, permissões ou estrutura dentro de diretórios temporários relacionados a snap.
- Uso de links simbólicos em caminhos processados por tarefas cron pertencentes a root.
- Eventos de montagem ou inicialização de sandbox snap ocorrendo após mudanças anômalas em
/tmp.
A resposta deve priorizar atualização dos sistemas Ubuntu Desktop afetados assim que as correções correspondentes estiverem disponíveis no ambiente administrado. Como a falha envolve componentes padrão e uma configuração comum de limpeza, a mitigação não deve depender apenas de orientação ao usuário final. Inventários precisam identificar estáções Ubuntu 24.04 e posteriores, confirmar o estado dos pacotes relacionados a snap e à limpeza de temporários, e validar se a correção aplicada elimina a possibilidade de recriação maliciosa do diretório antes da inicialização de sandbox.
Enquanto a correção é distribuída, controles compensatórios podem reduzir exposição. Equipes devem limitar contas locais desnecessárias, revisar permissões de usuários com acesso interativo, aumentar visibilidade sobre /tmp e investigar hosts onde usuários de baixo privilégio tenham permanência prolongada. Em ambientes sensíveis, a auditoria de alterações em /tmp/.snap e de execuções de snap-confine pode ajudar a detectar tentativas de exploração. Qualquer ajuste em políticas de limpeza precisa ser validado com cautela para evitar quebra operacional, pois diretórios temporários são usados por múltiplos componentes do sistema.
Para a condição de corrida em uutils coreutils, a mitigação informada inclui a reversão do comando padrão de remoção para GNU coreutils no Ubuntu 25.10 antes do lançamento público e a aplicação de correções no repositório upstream de uutils. Defensores devem revisar imagens, builds e ambientes de teste que tenham adotado versões afetadas de uutils coreutils, especialmente quando tarefas automatizadas com privilégios elevados removem diretórios sob influência de usuários locais. A validação final deve confirmar que operações de remoção executadas como root não seguem substituições inesperadas por links simbólicos em janelas de corrida.
- Atualizar Ubuntu Desktop 24.04 e versões posteriores afetadas conforme os pacotes corrigidos forem disponibilizados.
- Inventariar hosts com snap habilitado e correlacionar versão do sistema com política de limpeza de
/tmp. - Monitorar recriação, alteração de permissões e conteúdo inesperado em
/tmp/.snap. - Restringir contas locais sem necessidade operacional e revisar acessos interativos de baixo privilégio.
- Revisar uso de
uutils coreutilsem ambientes com tarefas cron de root e aplicar correções upstream quando aplicável.
0 Comentários