lỗ hổng CVE CVE-2026-41651, còn được gọi là Pack2TheRoot, là một cảnh báo CVE mức độ nghiêm trọng cao với CVSS 3.1: 8.8. Lỗ hổng an toàn thông tin này được công bố công khai và ảnh hưởng đến nhiều bản phân phối Linux lớn trong cấu hình mặc định.
Phân tích lỗ hổng CVE trong PackageKit
Điểm yếu nằm trong PackageKit daemon, lớp trừu tượng quản lý gói được triển khai rộng rãi trên các hệ thống dựa trên Debian, Ubuntu, Fedora và Red Hat. Khi khai thác thành công, một người dùng cục bộ không có đặc quyền có thể âm thầm cài đặt hoặc gỡ bỏ gói hệ thống, từ đó đạt được full root access mà không cần mật khẩu.
Đây là một lỗ hổng CVE cho phép vượt qua hoàn toàn cơ chế xác thực. Kẻ tấn công chỉ cần quyền truy cập cục bộ cơ bản để thực hiện thao tác cài đặt gói độc hại hoặc loại bỏ các thành phần bảo mật quan trọng, dẫn đến hệ thống bị xâm nhập.
Phạm vi ảnh hưởng
Theo thông tin công bố, tất cả các phiên bản PackageKit từ 1.0.2 đến 1.3.4 đều bị ảnh hưởng. Khoảng thời gian này trải dài hơn 12 năm phát hành, làm mở rộng đáng kể bề mặt tấn công của lỗ hổng CVE.
PackageKit cũng là phụ thuộc tùy chọn của dự án quản trị máy chủ Cockpit, vì vậy các máy chủ doanh nghiệp chạy Cockpit, bao gồm cả hệ thống dùng RHEL, có thể chịu rủi ro bảo mật nếu đang bật thành phần này.
Bất kỳ bản phân phối nào đi kèm PackageKit và kích hoạt sẵn đều nên được xem là có nguy cơ bị ảnh hưởng bởi lỗ hổng CVE này.
Điều kiện khai thác và mức độ rủi ro
PoC hoạt động đã được xác nhận và có thể đạt root code execution chỉ trong vài giây. Mặc dù đây là lỗ hổng CVE khai thác cục bộ, tác động thực tế rất cao do quyền leo thang lên root trên các hệ thống Linux được triển khai phổ biến.
Với các máy chủ có Cockpit hoặc bất kỳ hệ thống nào phụ thuộc PackageKit, nguy cơ bảo mật tăng mạnh nếu dịch vụ quản trị có thể được kích hoạt theo yêu cầu qua D-Bus. Trong trường hợp này, kiểm tra danh sách tiến trình đơn thuần là chưa đủ để đánh giá tình trạng phơi nhiễm.
Chuỗi khai thác
Trong quá trình nghiên cứu, một lệnh pkcon install trên Fedora Workstation đã có thể cài đặt gói hệ thống mà không hiển thị lời nhắc mật khẩu. Đây là dấu hiệu trực tiếp cho thấy cơ chế ủy quyền trong PackageKit bị bỏ qua trong một số ngữ cảnh.
Điểm này khiến lỗ hổng CVE đặc biệt đáng chú ý trong các môi trường đa người dùng và máy chủ vận hành dịch vụ quản trị từ xa.
IOC và dấu hiệu phát hiện xâm nhập
Quá trình khai thác để lại dấu vết có thể quan sát được. Khi bị tấn công, daemon PackageKit có thể gặp assertion failure và crash; lỗi này được ghi log và hệ thống có thể phục hồi thông qua systemd.
Các dấu hiệu đáng chú ý gồm:
- journalctl –no-pager -u packagekit | grep -i emitted_finished
- Assertion failure tại pk-transaction.c:514
- PackageKit daemon crash bất thường sau thao tác quản lý gói
Đây là các IOC quan trọng để phát hiện tấn công liên quan đến lỗ hổng CVE và xác định hoạt động leo thang đặc quyền.
Khuyến nghị cập nhật bản vá
Lỗ hổng CVE đã được khắc phục trong PackageKit 1.3.5, phát hành ngày 22/04/2026. Các gói vá theo từng bản phân phối cũng đã có sẵn.
Quản trị viên hệ thống cần ưu tiên cập nhật bản vá ngay lập tức, đặc biệt trên các máy chủ Internet-facing đang chạy Cockpit. Việc trì hoãn vá lỗi sẽ làm tăng rủi ro an toàn thông tin do kẻ tấn công có thể đạt quyền root từ một tài khoản cục bộ không đặc quyền.
Thông tin tham chiếu kỹ thuật có thể xem tại NVD – CVE-2026-41651.
Từ khóa kỹ thuật liên quan
lỗ hổng CVE này ảnh hưởng trực tiếp đến PackageKit daemon, Cockpit, các hệ thống Linux mặc định và các môi trường có bề mặt tấn công cục bộ. Mức độ nghiêm trọng cao khiến việc giám sát log, kiểm tra IOC và cập nhật bản vá cần được thực hiện sớm.
