-
09/04/2020
-
128
-
1.705 bài viết
Lỗ hổng leo thang đặc quyền trên Ubuntu Desktop cho phép tin tặc chiếm quyền root
Một lỗ hổng leo thang đặc quyền cục bộ vừa được phát hiện trên các bản cài đặt mặc định của Ubuntu Desktop 24.04 trở lên, cho phép kẻ tấn công địa phương không có quyền truy cập nâng cao chiếm quyền root hoàn toàn trên hệ thống.
Lỗ hổng được gắn mã định danh là CVE-2026-3888, được nhóm Qualys Threat Research Unit phát hiện. Lỗ hổng này xuất hiện do sự tương tác không mong muốn giữa hai thành phần hệ thống chuẩn là snap-confine và systemd-tmpfiles, khiến nó trở nên đặc biệt nguy hiểm vì cả hai đều được tích hợp sâu trong cài đặt mặc định của Ubuntu.
Snapd là dịch vụ nền của Ubuntu chịu trách nhiệm quản lý các gói snap - các ứng dụng đóng gói tự chứa cùng đầy đủ phụ thuộc riêng. Ngoài vai trò quản lý gói, snapd còn thực thi cơ chế kiểm soát quyền truy cập của từng snap trên hệ thống, vừa là trình quản lý gói, vừa là động cơ thực thi chính sách bảo mật.
Trong cơ chế này, hai thành phần chính liên quan trực tiếp đến CVE-2026-3888 là:Snapd là dịch vụ nền của Ubuntu chịu trách nhiệm quản lý các gói snap - các ứng dụng đóng gói tự chứa cùng đầy đủ phụ thuộc riêng. Ngoài vai trò quản lý gói, snapd còn thực thi cơ chế kiểm soát quyền truy cập của từng snap trên hệ thống, vừa là trình quản lý gói, vừa là động cơ thực thi chính sách bảo mật.
- snap-confine: là tập tin nhị phân setuid root chịu trách nhiệm xây dựng môi trường sandbox cho snap trước khi ứng dụng chạy. Nó quản lý việc cô lập namespace mount, áp dụng cgroup, tải chính sách AppArmor và lọc seccomp, đảm bảo các ứng dụng snap không vượt ra ngoài ranh giới được phép
- systemd-tmpfiles: quản lý các thư mục tạm thời như /tmp, /run và /var/tmp, đảm bảo các thư mục này tồn tại mỗi khi hệ thống khởi động và tự động xóa các tệp cũ theo lịch định sẵn. Nếu cấu hình sai hoặc chu kỳ dọn dẹp dễ đoán, kẻ tấn công có thể lợi dụng để thực hiện symlink race và leo thang quyền cục bộ.
CVE-2026-3888 có điểm CVSS v3.1 là 7.8, với vector AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H. Lỗ hổng này cho phép kẻ tấn công truy cập trực tiếp vào máy tính đang chạy Ubuntu mà không cần quyền quản trị và không cần người dùng can thiệp. Khi khai thác thành công, kẻ tấn công có thể ảnh hưởng ra ngoài phạm vi thành phần bị lỗi, tác động trực tiếp đến bảo mật, tính toàn vẹn và khả năng hoạt động của hệ thống.
Việc khai thác CVE-2026-3888 diễn ra khá phức tạp bởi chuỗi tấn công dựa vào cơ chế trễ thời gian Theo mặc định, systemd-tmpfiles xóa dữ liệu cũ trong thư mục /tmp sau 30 ngày trên Ubuntu 24.04 và sau 10 ngày trên các phiên bản mới hơn. Trong quá trình khai thác, kẻ tấn công phải chờ daemon dọn dẹp xóa thư mục /tmp/.snap, vốn là thư mục quan trọng mà snap-confine sử dụng để khởi tạo sandbox. Khi thư mục này bị xóa, kẻ tấn công có thể tạo lại /tmp/.snap và chèn các payload độc hại vào bên trong. Lần khởi tạo sandbox tiếp theo, snap-confine sẽ gắn những tệp này với quyền root, cho phép thực thi mã tùy ý trong bối cảnh đặc quyền và dẫn đến việc chiếm quyền kiểm soát toàn bộ hệ thống.
Trước mức độ rủi ro cao của lỗ hổng này, các tổ chức cần ngay lập tức nâng cấp snapd để đảm bảo an toàn:
Việc khai thác CVE-2026-3888 diễn ra khá phức tạp bởi chuỗi tấn công dựa vào cơ chế trễ thời gian Theo mặc định, systemd-tmpfiles xóa dữ liệu cũ trong thư mục /tmp sau 30 ngày trên Ubuntu 24.04 và sau 10 ngày trên các phiên bản mới hơn. Trong quá trình khai thác, kẻ tấn công phải chờ daemon dọn dẹp xóa thư mục /tmp/.snap, vốn là thư mục quan trọng mà snap-confine sử dụng để khởi tạo sandbox. Khi thư mục này bị xóa, kẻ tấn công có thể tạo lại /tmp/.snap và chèn các payload độc hại vào bên trong. Lần khởi tạo sandbox tiếp theo, snap-confine sẽ gắn những tệp này với quyền root, cho phép thực thi mã tùy ý trong bối cảnh đặc quyền và dẫn đến việc chiếm quyền kiểm soát toàn bộ hệ thống.
Trước mức độ rủi ro cao của lỗ hổng này, các tổ chức cần ngay lập tức nâng cấp snapd để đảm bảo an toàn:
- Ubuntu 24.04 LTS: trước 2.73+ubuntu24.04.1 → nâng cấp lên 2.73+ubuntu24.04.1
- Ubuntu 25.10: trước 2.73+ubuntu25.10.1 → nâng cấp lên 2.73+ubuntu25.10.1
- Ubuntu 26.04 LTS (Dev): trước 2.74.1+ubuntu26.04.1 → nâng cấp lên 2.74.1+ubuntu26.04.1
- snapd Upstream: trước 2.75 → nâng cấp lên 2.75
Trước khi phát hành Ubuntu 25.10, nhóm Qualys TRU phát hiện một lỗ hổng trong gói uutils coreutils, phiên bản viết lại bằng Rust của các tiện ích GNU chuẩn.
Lỗ hổng nằm trong tiện ích rm. Nó cho phép kẻ tấn công địa phương, không có quyền cao, thay thế các thư mục bằng symlink khi cron chạy với quyền root. Lỗ hổng này nhắm tới /etc/cron.daily/apport, có thể dẫn tới xóa file với quyền root hoặc leo thang quyền bằng cách tấn công thư mục sandbox của snap.
Để khắc phục, nhóm bảo mật Ubuntu đã khôi phục lệnh rm mặc định sang GNU coreutils trên Ubuntu 25.10. Các bản vá cũng đã được áp dụng trở lại trên kho uutils.
Lỗ hổng nằm trong tiện ích rm. Nó cho phép kẻ tấn công địa phương, không có quyền cao, thay thế các thư mục bằng symlink khi cron chạy với quyền root. Lỗ hổng này nhắm tới /etc/cron.daily/apport, có thể dẫn tới xóa file với quyền root hoặc leo thang quyền bằng cách tấn công thư mục sandbox của snap.
Để khắc phục, nhóm bảo mật Ubuntu đã khôi phục lệnh rm mặc định sang GNU coreutils trên Ubuntu 25.10. Các bản vá cũng đã được áp dụng trở lại trên kho uutils.
Theo Cyber Security News