Falha crítica no Ubuntu permite escalonamento a root em instalações padrão
Uma nova vulnerabilidade grave foi identificada no Ubuntu Desktop e pode permitir que um usuário local sem privilégios obtenha acesso root completo ao sistema. O problema, descoberto pela Unidade de Pesquisa de Ameaças da Qualys, afeta instalações padrão a partir do Ubuntu 24.04 e foi catalogado como CVE-2026-3888, com pontuação CVSS v3.1 de 7,8, classificada como alta gravidade.
Como a falha no Ubuntu funciona
A vulnerabilidade é um caso clássico de escalonamento de privilégios locais (LPE), mas com uma cadeia de exploração incomum. O problema surge da interação não planejada entre dois componentes privilegiados do sistema:
– snap-confine – binário setuid root responsável por preparar a sandbox de segurança em que aplicativos Snap são executados;
– systemd-tmpfiles – serviço que cria, gerencia e limpa diretórios temporários e voláteis, como o conteúdo de `/tmp`.
O diretório `/tmp/.snap` é utilizado pelo snap-confine como parte do processo de criação do ambiente isolado dos aplicativos Snap. Em condições normais, esse diretório é gerenciado automaticamente, sem intervenção do usuário. Porém, o mecanismo de limpeza periódica do sistema pode, após um intervalo de tempo, remover esse diretório.
Janela de exploração: por que o ataque demora de 10 a 30 dias
Para conseguir explorar a falha, o invasor precisa aguardar o ciclo de limpeza do sistema, realizado pelo daemon responsável por remover arquivos e diretórios temporários antigos. Segundo a Qualys, esse intervalo costuma variar entre 10 e 30 dias, dependendo da configuração e do uso da máquina.
Quando o daemon de limpeza remove o diretório crítico `/tmp/.snap`, abre-se uma janela de oportunidade: o atacante, mesmo sem privilégios administrativos, pode recriar esse caminho com conteúdo malicioso controlado por ele. Na próxima vez em que o snap-confine for chamado para iniciar um aplicativo Snap, ele passará a operar nesse diretório adulterado.
Do diretório malicioso ao acesso root
Uma vez que o invasor recria `/tmp/.snap` com arquivos especialmente preparados, o snap-confine, por ser um binário setuid root, passa a montar e manipular esse conteúdo com privilégios de superusuário. Essa interação indevida permite que o código ou os artefatos criados pelo atacante sejam processados como root, resultando em:
– Comprometimento da sandbox dos Snaps;
– Possibilidade de sobrescrever arquivos sensíveis do sistema;
– Execução de comandos com privilégios máximos;
– Tomada de controle total do host afetado.
Na prática, isso transforma um simples usuário local, que em tese deveria ter acesso extremamente limitado, em administrador absoluto da máquina, com capacidade de instalar backdoors, alterar configurações de segurança, roubar credenciais e persistir no ambiente.
Versões afetadas e estado da correção
A falha está associada a versões vulneráveis do pacote snapd em diferentes releases do Ubuntu Desktop. De acordo com a análise da Qualys, são afetados:
– Ubuntu 24.04 LTS – versões anteriores ao snapd `2.73ubuntu24.04.2`;
– Ubuntu 25.10 LTS – versões anteriores ao snapd `2.73ubuntu25.10.1`;
– Ubuntu 26.04 LTS – versões anteriores ao snapd `2.74.1ubuntu26.04.1`.
Sistemas mais antigos, como Ubuntu 16.04, 18.04, 20.04 e 22.04 LTS, não são considerados vulneráveis nessa configuração padrão específica. Mesmo assim, os pesquisadores recomendam que administradores apliquem os patches disponibilizados para o snapd também nessas versões, como medida de endurecimento geral da segurança, reduzindo a superfície de ataque e prevenindo problemas decorrentes de cenários não padrão.
Para organizações e usuários que já adotaram o Ubuntu Desktop 24.04 ou superior, a orientação é direta: aplicar as atualizações imediatamente, garantindo que o pacote snapd esteja na versão corrigida ou posterior.
Descoberta secundária: condição de corrida no Ubuntu 25.10
Durante o processo de revisão de segurança do Ubuntu 25.10, a Qualys colaborou com a equipe de segurança da distribuição na análise do pacote uutils coreutils, uma reimplementação em Rust de utilitários tradicionais do sistema.
Nessa análise, foi identificada uma condição de corrida (race condition) no utilitário `rm`. Em cenários específicos, um usuário local sem privilégios poderia, durante a execução automatizada de tarefas via cron, substituir entradas de diretório por links simbólicos. Se explorada, essa falha permitiria:
– Exclusão arbitrária de arquivos como root;
– Potencial escalonamento de privilégios por meio da manipulação de caminhos sensíveis;
– Comprometimento de integridade de dados e de configurações críticas.
A vulnerabilidade foi reportada e mitigada antes do lançamento público do Ubuntu 25.10, o que impediu que a falha chegasse aos usuários finais na versão estável.
Por que essa vulnerabilidade é especialmente preocupante
Embora exija acesso local, a falha é séria por vários motivos:
1. Afeta instalações padrão – não depende de configurações exóticas ou ajustes avançados;
2. Explora componentes centrais – snap-confine e systemd-tmpfiles são amplamente utilizados e executados com altos privilégios;
3. Dificuldade de detecção – a janela de exploração ocorre após um período relativamente longo de uso, o que dificulta a correlação do ataque com o evento inicial (limpeza de `/tmp/.snap`);
4. Impacto máximo – o resultado final é acesso root, permitindo ao invasor desativar logs, alterar permissões e esconder rastros.
Em ambientes corporativos multiusuário, laboratórios, universidades, call centers, terminais de atendimento e qualquer contexto onde várias pessoas tenham contas locais, um insider mal-intencionado ou um atacante que já tenha obtido credenciais de um usuário comum pode aproveitar essa vulnerabilidade como etapa de escalada dentro da rede.
Relação com segurança em ambientes Cloud e SaaS
Muitos administradores partem do princípio de que, ao utilizar Ubuntu em nuvens públicas, desktops virtuais ou ambientes SaaS, a responsabilidade por backup e segurança está integralmente com o provedor. Isso não é verdade. Apesar de fornecedores de nuvem implementarem camadas robustas de proteção na infraestrutura, a segurança do sistema operacional convidado, como Ubuntu, continua sendo responsabilidade do cliente.
Uma falha que permite acesso root dentro da máquina virtual pode:
– Facilitar exfiltração de dados sensíveis armazenados localmente;
– Ser usada para mover-se lateralmente entre instâncias, se houver credenciais compartilhadas;
– Comprometer agentes de backup, ferramentas de monitoramento e integrações com outros serviços.
Além disso, nem todo ambiente Cloud ou SaaS oferece backup granular e garantido do conteúdo da máquina. Se um invasor com acesso root apagar ou criptografar dados, pode não haver um ponto de restauração recente, deixando a organização em situação crítica.
Boas práticas imediatas para administradores Ubuntu
Diante de uma falha com potencial de acesso root, a resposta deve ser estruturada. Algumas recomendações práticas:
1. Atualize o sistema
– Aplique as atualizações de segurança em todas as estações e notebooks com Ubuntu Desktop 24.04 ou posterior.
– Certifique-se de que o pacote `snapd` está nas versões corrigidas especificadas ou mais recentes.
2. Revisite políticas de usuários locais
– Minimize o número de contas locais;
– Restrinja acesso físico a equipamentos sensíveis;
– Use autenticação forte e políticas de bloqueio de tela para evitar uso não autorizado.
3. Endureça o uso de Snap
– Avalie quais Snaps são realmente necessários;
– Remova pacotes obsoletos ou pouco utilizados;
– Monitore logs relacionados ao snap-confine para detectar comportamentos atípicos.
4. Monitore diretórios temporários
– Implante mecanismos de auditoria para alterações incomuns em `/tmp` e outros diretórios voláteis;
– Estabeleça alertas para criação de diretórios e arquivos suspeitos usados com frequência em cadeias de exploração.
Como reduzir o risco de escalonamento de privilégios local
Falhas de escalonamento de privilégios locais são um tipo recorrente de vulnerabilidade em sistemas operacionais modernos. Elas frequentemente dependem de:
– Arquivos temporários mal gerenciados;
– Binários com setuid root;
– Condições de corrida e falhas de sincronização;
– Interações não previsíveis entre diferentes serviços.
Para reduzir o risco geral, além de manter o sistema atualizado, é recomendável:
– Diminuir o uso de setuid: revisar periodicamente binários com setuid root e removê-lo quando não estritamente necessário;
– Aplicar controles de acesso adicionais: combinar permissões tradicionais com mecanismos como AppArmor ou SELinux, criando políticas mais restritivas;
– Segmentar funções: separar contas de serviço, limitar o escopo de cada usuário e evitar que uma única conta tenha mais acesso do que precisa.
Impacto para empresas e áreas de segurança
Do ponto de vista corporativo, essa vulnerabilidade no Ubuntu evidencia a importância de processos contínuos de gestão de patches e de visibilidade sobre o parque de estações de trabalho. Mesmo em empresas que já têm forte foco em proteger servidores e aplicações críticas, a superfície de ataque de desktops muitas vezes é negligenciada.
Um colaborador com acesso local a uma máquina vulnerável pode:
– Elevar privilégios, contornar políticas de DLP e copiar grandes volumes de informação;
– Instalar ferramentas de acesso remoto não autorizadas;
– Modificar agentes de segurança para desativar recursos de detecção.
Equipes de segurança da informação devem incluir esse tipo de falha em suas análises de risco, adaptando controles de endpoint, segmentação de rede e políticas de resposta a incidentes para contemplar ataques que começam em estações de trabalho Linux.
Como verificar se seu sistema está protegido
Além de simplesmente instalar atualizações, vale adotar um procedimento mínimo de verificação:
– Checar a versão do Ubuntu e do pacote `snapd`;
– Confirmar se as atualizações de segurança estão habilitadas e sendo aplicadas automaticamente ou por um gerenciador central;
– Revisar o histórico de atualizações para garantir que eventuais falhas de rede ou de repositório não tenham impedido a instalação de pacotes críticos.
Em ambientes maiores, ferramentas de inventário e gestão centralizada de configuração podem ajudar a identificar rapidamente estações ainda sem patch.
Conclusão: correção rápida e vigilância contínua
A falha de escalonamento de privilégios no Ubuntu que permite acesso root ilustra como até interações aparentemente rotineiras, como limpeza de diretórios temporários e criação de sandboxes, podem se tornar vetores de ataque quando combinadas de forma imprevista.
A resposta adequada passa por três pilares:
– Correção ágil: aplicar patches nas versões afetadas do Ubuntu Desktop e do snapd sem demora;
– Reforço de controles: revisar permissões, monitorar diretórios temporários e endurecer o uso de ferramentas privilegiadas;
– Cultura de segurança: tratar estações de trabalho Linux com o mesmo rigor aplicado a servidores e workloads em nuvem.
Ao adotar essas medidas, organizações e usuários reduzem significativamente as chances de que vulnerabilidades semelhantes resultem em comprometimentos graves, mesmo em cenários em que o atacante já tenha conquistado algum nível de acesso local ao sistema.