Исследователи из группы Qualys Threat Research Unit обнаружили критическую уязвимость, приводящую к повышению локальных привилегий, в стандартных установках Ubuntu Desktop версии 24.04 и новее. Проблема, получившая идентификатор CVE-2026-3888 и высокий рейтинг опасности CVSS v3.1 в 7.8 баллов, позволяет локальному злоумышленнику с обычными правами пользователя получить полный контроль над системой, повысив свои привилегии до уровня суперпользователя root. Это событие важно не только для домашних пользователей, но и для корпоративных сред, где рабочие станции под управлением Ubuntu могут стать точкой входа для более глубокого проникновения в сеть. Подробности уязвимости раскрыл Саид Аббаси, старший руководитель Qualys, курирующий исследования в области безопасности и обнаружение уязвимостей.
Детали уязвимости CVE-2026-3888
В основе проблемы лежит непредусмотренное и опасное взаимодействие двух стандартных системных утилит Ubuntu, работающих с высокими привилегиями: "snap-confine" и "systemd-tmpfiles". Первый компонент, "snap-confine", - это исполняемый файл с установленным битом setuid root, ответственный за создание безопасных сред выполнения для приложений в формате snap. Его задачи включают изоляцию пространств имён монтирования, применение ограничений cgroups и загрузку политик AppArmor для обеспечения строгой изоляции snap-пакетов. Второй компонент, "systemd-tmpfiles", - это служба, управляющая жизненным циклом временных каталогов, таких как "/tmp". Она автоматически очищает устаревшие файлы на основе предустановленных таймеров.
Конфликт возникает из-за того, что "snap-confine" для построения своих песочниц полагается на определённые временные каталоги, которые "systemd-tmpfiles" регулярно удаляет. Некорректно настроенные правила очистки создают опасное состояние гонки на локальной системе. Злоумышленник может манипулировать этим рутинным циклом обслуживания, чтобы обойти границы безопасности. Сложность атаки оценивается как высокая, поскольку эксплуатация уязвимости требует определённого подхода, основанного на времени. Эксплойт полностью полагается на ожидание, пока встроенный демон очистки системы не удалит критически важный каталог "/tmp/.snap", необходимый для работы "snap-confine". Этот период ожидания по умолчанию составляет 30 дней в Ubuntu 24.04 и 10 дней в более поздних версиях.
Как только служба "systemd-tmpfiles" удаляет целевой каталог, непривилегированный атакующий может немедленно воссоздать его и заполнить вредоносными данными. При следующей инициализации песочницы для snap-приложения высокопривилегированная утилита "snap-confine" слепо выполняет bind-монтирование этих контролируемых злоумышленником файлов с правами root. Этот критический сбой в процессе изоляции предоставляет атакующему возможность выполнить произвольный код в контексте с полными привилегиями, что фактически означает полный захват системы без необходимости какого-либо взаимодействия с пользователем.
Организациям, использующим Ubuntu Desktop, необходимо немедленно применить обновления для устранения этой угрозы. Уязвимое программное обеспечение включает пакет snapd версий ранее 2.73+ubuntu24.04.1 для Ubuntu 24.04 LTS, ранее 2.73+ubuntu25.10.1 для Ubuntu 25.10 LTS и ранее 2.74.1+ubuntu26.04.1 для развивающейся ветки Ubuntu 26.04 LTS. Также затронуты базовые версии snapd до 2.75. Хотя устаревшие системы LTS, от 16.04 до 22.04, не уязвимы в конфигурации по умолчанию, администраторам рекомендуется установить патч для предотвращения потенциальных рисков в модифицированных средах, которые могут имитировать поведение новых версий.
В рамках проактивных исследований перед выпуском Ubuntu 25.10 эксперты также выявили отдельное состояние гонки в пакете "uutils coreutils", который представляет собой переписанную на Rust версию стандартных утилит GNU. Этот дополнительный недостаток в утилите "rm" позволял локальным злоумышленникам заменять записи каталогов на символические ссылки во время ежедневных cron-заданий, выполняемых от имени root. Это могло привести к произвольному удалению файлов или послужить ещё одним вектором для повышения привилегий через атаку на каталоги песочниц snap. Команда безопасности Ubuntu устранила этот риск до публичного релиза, вернув команду "rm" по умолчанию к стандартной реализации GNU coreutils.
С практической точки зрения данный инцидент подчёркивает скрытые риски, возникающие при взаимодействии сложных системных компонентов, каждый из которых по отдельности может быть безопасен. Рекомендации для специалистов по информационной безопасности очевидны: необходимо как можно скорее развернуть обновления для всех рабочих станций с Ubuntu Desktop 24.04 и новее. Кроме того, в корпоративных средах стоит рассмотреть возможность сокращения интервалов очистки временных файлов или более тщательного аудита правил "systemd-tmpfiles" на предмет неожиданных побочных эффектов. Для домашних пользователей лучшей защитой является включение автоматических обновлений системы. Этот случай также служит напоминанием о том, что даже такие фундаментальные компоненты, как менеджеры пакетов и их механизмы изоляции, требуют постоянного внимания и аудита безопасности, поскольку их компрометация приводит к немедленному и полному падению всей системы.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-3888
- https://ubuntu.com/security/CVE-2026-3888
- https://discourse.ubuntu.com/t/snapd-local-privilege-escalation-cve-2026-3888
- https://blog.qualys.com/vulnerabilities-threat-research/2026/03/17/cve-2026-3888-important-snap-flaw-enables-local-privilege-escalation-to-root
- https://cdn2.qualys.com/advisory/2026/03/17/snap-confine-systemd-tmpfiles.txt
