Een zeer ernstige beveiligingsfout die de standaardinstallaties van Ubuntu Desktop-versies 24.04 en hoger aantast, kan worden misbruikt om bevoegdheden naar het rootniveau te escaleren.
Bijgehouden als CVE-2026-3888 (CVSS-score: 7,8), kan het probleem ervoor zorgen dat een aanvaller de controle over een gevoelig systeem overneemt.
“Deze fout (CVE-2026-3888) stelt een onbevoegde lokale aanvaller in staat om rechten te escaleren naar volledige root-toegang door de interactie van twee standaard systeemcomponenten: snap-confine en systemd-tmpfiles”, aldus de Qualys Threat Research Unit (TRU). “Hoewel de exploit een specifiek tijdsgebaseerd venster vereist (10-30 dagen), is de resulterende impact een compleet compromis van het hostsysteem.”
Het probleem, zo merkte Qualys op, komt voort uit de onbedoelde interactie van snap-confine, dat de uitvoeringsomgevingen voor snap-applicaties beheert door een sandbox te creëren, en systemd-tmpfiles, dat automatisch tijdelijke bestanden en mappen opruimt (bijv./tmp, /run en /var/tmp) die ouder zijn dan een gedefinieerde drempel.
Het beveiligingslek is in de volgende versies verholpen:
- Ubuntu 24.04 LTS – snapd-versies vóór 2.73+ubuntu24.04.1
- Ubuntu 25.10 LTS – snapd-versies vóór 2.73+ubuntu25.10.1
- Ubuntu 26.04 LTS (Dev) – snapd-versies vóór 2.74.1+ubuntu26.04.1
- Upstream snapd – versies vóór 2.75
De aanval vereist weinig bevoegdheden en geen gebruikersinteractie, hoewel de aanvalscomplexiteit hoog is vanwege het tijdvertragingsmechanisme in de exploitketen.
“In standaardconfiguraties is systemd-tmpfiles gepland om verouderde gegevens in /tmp te verwijderen”, aldus Qualys. “Een aanvaller kan hiervan misbruik maken door de timing van deze opruimcycli te manipuleren.”
De aanval verloopt op de volgende manier:
- De aanvaller moet wachten tot de opruimdaemon van het systeem een kritieke map (/tmp/.snap) heeft verwijderd die vereist is voor snap-confine. De standaardperiode is 30 dagen in Ubuntu 24.04 en 10 dagen in latere versies.
- Eenmaal verwijderd, maakt de aanvaller de map opnieuw aan met kwaadaardige ladingen.
- Tijdens de volgende sandbox-initialisatie koppelt snap-confine bind deze bestanden als root, waardoor willekeurige code binnen de geprivilegieerde context kan worden uitgevoerd.
Daarnaast zegt Qualys dat het een race condition-fout heeft ontdekt in het uutils coreutils-pakket, waardoor een onbevoegde lokale aanvaller directory-items kan vervangen door symbolische links (ook wel symlinks genoemd) tijdens cron-uitvoeringen die eigendom zijn van de root.
“Succesvolle exploitatie zou kunnen leiden tot het willekeurig verwijderen van bestanden als root of verdere escalatie van bevoegdheden door zich te richten op snelle sandbox-mappen”, aldus het cyberbeveiligingsbedrijf. “De kwetsbaarheid werd gemeld en verholpen vóór de publieke release van Ubuntu 25.10. Het standaard rm-commando in Ubuntu 25.10 werd teruggezet naar GNU coreutils om dit risico onmiddellijk te beperken. Upstream-fixes zijn sindsdien toegepast op de uutils-repository.”
