Una nuova vulnerabilità identificata come CVE‑2026‑3888 mette in evidenza quanto le interazioni tra componenti di sistema possano diventare un punto debole anche in distribuzioni mature come Ubuntu.
Il problema riguarda Ubuntu Desktop e permette a un utente locale con privilegi minimi di ottenere accesso completo al sistema sfruttando un comportamento imprevisto tra snapd e systemd. La falla è stata scoperta durante le verifiche sul ciclo di rilascio di Ubuntu 25.10, ma coinvolge anche versioni già ampiamente diffuse come la 24.04 LTS, con un impatto potenziale su milioni di installazioni.
La vulnerabilità appartiene alla categoria Local Privilege Escalation e nasce da una race condition, cioè una condizione in cui due processi operano in parallelo senza un coordinamento adeguato. In questo caso i protagonisti sono snap-confine, componente eseguito con privilegi elevati utilizzato per preparare gli ambienti isolati delle applicazioni Snap, e systemd-tmpfiles, responsabile della gestione e pulizia delle directory temporanee. L’uso combinato di namespace, policy AppArmor, cgroup e filtri seccomp rende snap-confine un elemento delicato, e l’interazione con la pulizia periodica delle directory temporanee introduce una finestra temporale sfruttabile.
Durante questa finestra, una directory utilizzata da snap-confine può essere rimossa e ricreata con contenuti controllati da un utente locale. Il risultato è l’esecuzione di codice con privilegi elevati senza necessità di autenticazione aggiuntiva. Non servono exploit complessi né condizioni particolari: basta un account standard e l’accesso alla macchina. Non è richiesto alcun coinvolgimento della rete, rendendo la falla particolarmente insidiosa in ambienti condivisi.
Il problema è amplificato dal fatto che snapd è installato e attivo di default su Ubuntu Desktop dalla versione 20.04. Anche in assenza di applicazioni Snap installate manualmente, il servizio rimane operativo e amplia la superficie di attacco. Le situazioni più esposte sono quelle multiutente, come workstation aziendali, laboratori universitari e sistemi condivisi, dove ogni account locale può diventare un potenziale punto di ingresso.
Canonical ha rilasciato rapidamente aggiornamenti correttivi per snapd nelle versioni supportate. L’installazione delle patch avviene tramite i normali meccanismi di aggiornamento del sistema e non richiede interventi complessi. Versioni aggiornate come snapd 2.73 per Ubuntu 24.04 LTS risolvono il problema. È possibile verificare la versione installata con snap version e controllare la release del kernel tramite uname -r, che deve corrispondere alle build aggiornate delle versioni supportate.
Oltre all’aggiornamento, è utile adottare misure preventive come limitare l’accesso locale agli utenti autorizzati, monitorare le directory temporanee e applicare policy più restrittive nei contesti condivisi. Queste pratiche riducono il rischio residuo e migliorano la postura di sicurezza complessiva.
Il caso CVE‑2026‑3888 mette in luce un aspetto spesso trascurato: molte vulnerabilità non derivano da errori evidenti nel codice, ma da interazioni complesse tra componenti considerati affidabili. L’adozione di linguaggi più sicuri riduce alcune classi di problemi, ma non elimina i rischi legati alla logica operativa e alla gestione concorrente dei processi. Per questo motivo la sicurezza richiede non solo aggiornamenti tempestivi, ma anche una comprensione più profonda del comportamento dei servizi che compongono il sistema.
Fonte: securityaffairs
