Một lỗ hổng CVE nghiêm trọng (Local Privilege Escalation – LPE) đã được phát hiện trong các cài đặt mặc định của Ubuntu Desktop 24.04 và các phiên bản mới hơn. Lỗ hổng này cho phép kẻ tấn công cục bộ không có đặc quyền đạt được quyền root đầy đủ trên hệ thống bị ảnh hưởng.
Được theo dõi với mã định danh CVE-2026-3888, lỗ hổng này được phát hiện bởi Đơn vị Nghiên cứu Mối đe dọa của Qualys (Qualys Threat Research Unit). Đây là một sự tương tác ngoài ý muốn giữa hai thành phần hệ thống tiêu chuẩn: snap-confine và systemd-tmpfiles. Mức độ nguy hiểm của nó đặc biệt cao do cả hai thành phần này đều được nhúng sâu trong các triển khai Ubuntu mặc định.
Phân tích Kỹ thuật Lỗ hổng CVE-2026-3888
Vai trò của Snapd và các Thành phần liên quan
Snapd là dịch vụ chạy nền của Ubuntu, chịu trách nhiệm quản lý các gói snap. Các gói snap là các gói ứng dụng độc lập, chứa đầy đủ các dependency của riêng chúng.
Ngoài chức năng quản lý gói, snapd còn thực thi mô hình cấp phép, quy định những gì mỗi snap có thể truy cập trên máy chủ. Điều này biến snapd thành cả một trình quản lý gói và một công cụ thực thi chính sách bảo mật.
Hai thành phần chính trong framework này đóng vai trò cốt lõi trong lỗ hổng CVE-2026-3888:
- snap-confine: Một công cụ thực thi nhị phân SUID (Set User ID) được sử dụng bởi snapd để thiết lập môi trường sandbox an toàn cho các ứng dụng snap.
- systemd-tmpfiles: Một tiện ích của systemd chịu trách nhiệm quản lý việc tạo, xóa và dọn dẹp các tệp và thư mục tạm thời.
Đánh giá CVSS và Tác động
CVE-2026-3888 có điểm CVSS v3.1 là 7.8 (High), với chuỗi vector là AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H. Phân tích chi tiết về vector này như sau:
- AV:L (Attack Vector: Local): Cuộc tấn công yêu cầu kẻ tấn công phải có quyền truy cập cục bộ vào hệ thống.
- AC:H (Attack Complexity: High): Độ phức tạp của cuộc tấn công cao. Điều này phản ánh một cơ chế trì hoãn thời gian vốn có trong chuỗi khai thác. Mặc định, systemd-tmpfiles được lập lịch để xóa dữ liệu cũ từ thư mục
/tmp– sau 30 ngày trên Ubuntu 24.04 và 10 ngày trên các phiên bản sau này. Yếu tố thời gian này làm tăng độ phức tạp của việc khai thác. - PR:L (Privileges Required: Low): Kẻ tấn công chỉ cần các đặc quyền thấp để khởi động cuộc tấn công.
- UI:N (User Interaction: None): Cuộc tấn công không yêu cầu bất kỳ tương tác nào từ người dùng bị hại.
- S:C (Scope: Changed): Phạm vi bị ảnh hưởng thay đổi. Điều này có nghĩa là một cuộc khai thác thành công sẽ tác động đến các tài nguyên nằm ngoài thành phần dễ bị tổn thương ban đầu, dẫn đến việc leo thang đặc quyền toàn diện.
- C:H (Confidentiality Impact: High): Tác động cao đến tính bảo mật của dữ liệu, có thể dẫn đến việc tiết lộ thông tin nhạy cảm.
- I:H (Integrity Impact: High): Tác động cao đến tính toàn vẹn của dữ liệu, có thể dẫn đến việc sửa đổi hoặc phá hủy dữ liệu.
- A:H (Availability Impact: High): Tác động cao đến tính khả dụng của hệ thống, có thể dẫn đến việc từ chối dịch vụ hoặc làm hỏng hệ thống.
Sự kết hợp giữa quyền truy cập cục bộ, đặc quyền thấp cần thiết và khả năng leo thang lên quyền root với tác động cao đến bảo mật, toàn vẹn và khả dụng khiến đây là một lỗ hổng CVE rất nghiêm trọng, đặc biệt trong môi trường máy tính để bàn.
Để biết thêm chi tiết về lỗ hổng, có thể tham khảo trang NVD của NIST: CVE-2026-3888.
Cơ chế khai thác lỗ hổng CVE
Mặc dù chi tiết cụ thể về ba giai đoạn tấn công chưa được công bố rộng rãi trong thông tin ban đầu, cơ chế khai thác lỗ hổng CVE-2026-3888 xoay quanh sự tương tác lỗi giữa snap-confine và systemd-tmpfiles. Kẻ tấn công lợi dụng việc systemd-tmpfiles dọn dẹp các tệp tạm thời định kỳ. Khoảng thời gian trì hoãn 10-30 ngày này cung cấp một cửa sổ để thực hiện các thao tác độc hại.
Bằng cách thao túng các tệp hoặc thư mục tạm thời trong thư mục /tmp trước khi systemd-tmpfiles thực hiện việc dọn dẹp, kẻ tấn công có thể tạo ra một điều kiện cạnh tranh (race condition). Kết hợp với cách snap-confine thiết lập môi trường thực thi, kẻ tấn công có thể thực hiện leo thang đặc quyền từ một người dùng có quyền thấp lên quyền root.
Biện pháp Khắc phục và Cập nhật Bản vá Bảo mật
Các tổ chức nên nâng cấp ngay lập tức gói snapd lên các phiên bản đã được vá sau đây để khắc phục lỗ hổng CVE-2026-3888:
- snapd 2.61.1 hoặc mới hơn
Các hệ thống cũ chạy Ubuntu 16.04–22.04 LTS không bị ảnh hưởng bởi lỗ hổng này trong cấu hình mặc định. Tuy nhiên, Qualys khuyến nghị áp dụng bản vá như một biện pháp phòng ngừa cho các thiết lập không mặc định có thể mô phỏng hành vi của các bản phát hành mới hơn.
Việc áp dụng các bản vá bảo mật này là rất quan trọng để đảm bảo an toàn cho hệ thống Ubuntu của bạn. Các quản trị viên hệ thống nên ưu tiên cập nhật ngay khi có thể.
Thông tin chi tiết về nghiên cứu và khuyến nghị vá lỗi có thể được tìm thấy trên blog của Qualys: CVE-2026-3888: Important Snap Flaw Enables Local Privilege Escalation to Root.
Lỗ hổng liên quan trong uutils coreutils và Biện pháp Phòng ngừa
Trong quá trình xem xét bảo mật chủ động trước khi phát hành Ubuntu 25.10, Qualys TRU cũng đã xác định một điều kiện cạnh tranh khác trong gói uutils coreutils. Đây là một bản viết lại các tiện ích GNU tiêu chuẩn bằng Rust.
Lỗ hổng này nằm trong tiện ích rm, cho phép kẻ tấn công cục bộ không có đặc quyền thay thế các mục thư mục bằng symlink trong quá trình thực thi cron với quyền root. Cụ thể, nó nhắm mục tiêu vào /etc/cron.daily/apport.
Khai thác lỗ hổng này có thể dẫn đến việc xóa tệp tùy ý với quyền root hoặc leo thang đặc quyền hơn nữa bằng cách nhắm mục tiêu vào các thư mục sandbox của snap. Đây cũng là một mối đe dọa nghiêm trọng đối với an ninh mạng.
Đội ngũ bảo mật Ubuntu đã chủ động giảm thiểu rủi ro này trước khi phát hành công khai Ubuntu 25.10 bằng cách khôi phục lệnh rm mặc định về GNU coreutils. Các bản sửa lỗi đã được áp dụng cho kho lưu trữ uutils.
Sự kiện này nhấn mạnh tầm quan trọng của việc kiểm tra bảo mật kỹ lưỡng trước khi phát hành và sự cần thiết của các bản vá bảo mật thường xuyên. Để phòng tránh các mối đe dọa mạng tương tự, việc theo dõi các bản cập nhật và advisory bảo mật là thiết yếu.
Đối với các nhà phát triển và quản trị viên hệ thống, việc hiểu rõ các thành phần hệ thống như snapd và systemd là chìa khóa để nhận diện và phòng chống các lỗ hổng CVE tiềm tàng. Việc duy trì các chính sách an ninh nghiêm ngặt và thực hiện các quy trình cập nhật định kỳ sẽ giảm thiểu đáng kể nguy cơ bị tấn công.
