Una nuova vulnerabilità ad alta gravità scuote l’ecosistema Ubuntu: si tratta della CVE-2026-3888, un bug nel sistema Snap che può consentire a un attaccante locale di ottenere privilegi di root.
La falla è stata scoperta dai ricercatori di sicurezza di Qualys e riguarda le installazioni di Ubuntu Desktop 24.04 e successive.
CVE-2026-3888
La vulnerabilità è classificata come Local Privilege Escalation (LPE) con punteggio CVSS 7.8 (High).
In pratica un utente con accesso locale al sistema può passare da privilegi limitati a controllo completo del sistema (root).
Il problema riguarda il servizio snapd, cuore del sistema Snap utilizzato da Ubuntu per gestire applicazioni containerizzate.
Come funziona l’attacco
La vulnerabilità nasce dall’interazione tra due componenti critici:
- snap-confine gestisce il sandbox delle app Snap
- systemd-tmpfiles pulisce automaticamente le directory temporanee
Il bug sfrutta un meccanismo temporale:
- Il sistema elimina automaticamente una directory critica (
/tmp/.snap) - L’attaccante ricrea la directory con contenuti malevoli
- snap-confine la monta con privilegi elevati
- Il codice malevolo viene eseguito come root
Risultato: compromissione completa del sistema.
Un exploit lento ma devastante
Uno degli aspetti più particolari è il fattore tempo:
- l’attacco richiede una finestra di 10–30 giorni
- nessuna interazione dell’utente è necessaria
- bastano privilegi locali minimi
Nonostante la complessità elevata, l’impatto è massimo in quanto concede accesso totale a dati, sistema e configurazioni.
Sistemi colpiti
Sono vulnerabili:
- Ubuntu Desktop 24.04 LTS e successivi
- diverse versioni di snapd precedenti alle patch
In generale, anche versioni precedenti di Ubuntu possono essere a rischio in configurazioni particolari.
Le patch sono già disponibili
Canonical ha già rilasciato aggiornamenti di sicurezza che risolvono la vulnerabilità:
- snapd 2.73+ per Ubuntu 24.04 e 25.10
- versioni successive per release più recenti
Dopo l’update è consigliato anche un riavvio del sistema.
Perché è una vulnerabilità critica
Nonostante sia un attacco locale, CVE-2026-3888 è particolarmente pericolosa perché:
- colpisce componenti core del sistema
- permette escalation completa a root
- non richiede interazione dell’utente
- può essere combinata con altre vulnerabilità
In ambito aziendale, può diventare un vettore per attacchi più ampi.
Fate sempre attenzione
La CVE-2026-3888 dimostra ancora una volta quanto siano delicati i meccanismi di isolamento e gestione dei permessi nei sistemi moderni.
Anche strumenti progettati per migliorare la sicurezza, come Snap, possono introdurre nuove superfici di attacco se non gestiti correttamente.
