TokyoBlackHatNews

gbhackers.com 4分で読了

Ubuntu Desktopの脆弱性により攻撃者が権限をエスカレートしてフルルートアクセスを取得可能

Qualys Threat Research Unit (TRU) は、Ubuntu Desktop バージョン 24.04 以降のデフォルトインストールに影響する重大なLocal Privilege Escalation (LPE) 脆弱性を公開しました。

CVE-2026-3888 として追跡されている本脆弱性は、高い重大度を持ち、CVSS v3.1 スコアは 7.8 であり、権限を持たないローカル攻撃者が権限をフルルートアクセスに昇格させることで、ホストシステムを完全に侵害することを可能にします。

本脆弱性はセキュリティ研究と脆弱性検出イニシアティブを監督する Qualys のシニアマネージャーである Saeed Abbasi によって詳細が説明されました

中核的な問題: snap-confine と systemd-tmpfiles

エスカレーションパスは、Ubuntu 内の 2 つの標準的で高い権限を持つシステムユーティリティ間の意図しない相互作用から生じます。

最初のコンポーネントは、snap アプリケーション用のセキュアな実行環境を管理する責任を持つ setuid root バイナリである snap-confine です。

スナップが厳密にサンドボックス化されたままであることを保証するために、マウント名前空間の分離、cgroup の強制実行、および AppArmor ポリシーロードを処理します。

2 番目のコンポーネントは、/tmp などの揮発性ディレクトリのライフサイクルを、事前定義されたタイマーに基づいて古いファイルを自動的にクリーンアップすることで管理する systemd-tmpfiles サービスです。

snap-confine がサンドボックスを構築するために特定の一時ディレクトリに依存し、systemd-tmpfiles がこれらの同じ領域を定期的にパージするため、設定が不十分なクリーンアップルールは危険なローカルレース条件を作成します。

攻撃者はこのルーチンメンテナンスサイクルを操作して、セキュリティ境界をバイパスできます。

CVE-2026-3888 を悪用するには特定の時間ベースのアプローチが必要であり、これは High Attack Complexity レーティングを与えます。

Image

悪用は、デフォルトのシステムクリーンアップデーモンが snap-confine が適切に機能するために必要とする重要なディレクトリ、特に /tmp/.snap を削除するのを待つことに完全に依存しています。

この組み込みの待機期間は Ubuntu 24.04 では 30 日、その後のバージョンでは 10 日です。systemd-tmpfiles サービスがターゲットディレクトリを削除すると、権限を持たない攻撃者はそれを即座に再作成し、悪意のあるペイロードを入力できます。

snap アプリケーションサンドボックスの次回初期化中に、高い権限を持つ snap-confine ユーティリティは、これらの攻撃者に制御されたファイルを root として盲目的にバインドマウントします。

分離プロセスでのこの重大な失敗により、攻撃者は完全に特権化されたコンテキスト内で任意のコードを実行し、ユーザーの相互作用なしにシステムを引き継ぐ能力を得ます。

Ubuntu Desktop 環境を実行している組織は、この脅威を軽減するためにすぐにパッチを適用する必要があります。

脆弱なソフトウェアは、Ubuntu 24.04 LTS 上の 2.73+ubuntu24.04.1 より前のバージョン、Ubuntu 25.10 LTS 上の 2.73+ubuntu25.10.1 より前のバージョン、および Ubuntu 26.04 LTS 開発ブランチ上の 2.74.1+ubuntu26.04.1 より前のバージョンを含む snapd です。

2.75 より前のアップストリーム snapd バージョンも影響を受けます。 16.04 から 22.04 までのレガシー LTS システムはデフォルト構成では脆弱ではありませんが、管理者は新しい動作を模倣する可能性のある修正された環境での露出を防ぐためにパッチを適用する必要があります。

Ubuntu 25.10 リリースに先立つ積極的な取り組みの一環として、研究者は標準 GNU ユーティリティの Rust 書き直しである uutils coreutils パッケージ内の別のレース条件も特定しました。

rm ユーティリティのこの二次的な欠陥により、ローカル攻撃者は root 所有の日次 cron ジョブ中にディレクトリエントリをシンボリックリンクに置き換えることができました。

これは任意のファイル削除につながる可能性があるか、snap サンドボックスディレクトリをターゲットにすることで権限昇格の別のベクトルとして機能する可能性があります。

Ubuntu セキュリティチームは、デフォルトの rm コマンドを標準 GNU coreutils の実装に戻すことで、公開前にこのリスクを軽減しました。

翻訳元: https://gbhackers.com/ubuntu-desktop-vulnerability/

ソース: gbhackers.com
#CVE-2026-3888 #Linuxセキュリティ #Qualys #root権限 #snapd #Ubuntu #セキュリティパッチ #ローカル脆弱性 #権限昇格 #脆弱性

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚