Vulnerabilità Ubuntu permette controllo totale del sistema via Snap

Una vulnerabilità critica appena venuta a galla riporta l’attenzione su un aspetto spesso sottovalutato della sicurezza Linux: l’interazione tra componenti di sistema apparentemente affidabili. Ubuntu Desktop, distribuzione adottata su milioni di workstation e ambienti condivisi, integra servizi profondamente radicati come snapd e systemd. La falla classificata con l’identificativo CVE-2026-3888 consente l’escalation completa dei privilegi fino a root partendo da un semplice account locale.

Il problema è stato individuato durante verifiche sul ciclo di rilascio di Ubuntu 25.10 e riguarda anche versioni già diffuse come 24.04 LTS, interessando potenzialmente decine di milioni di sistemi.

Origine della vulnerabilità e contesto tecnico

La vulnerabilità appartiene alla categoria Local Privilege Escalation, un tipo di difetto che consente a un utente con privilegi limitati di ottenere accesso completo al sistema. Nel caso specifico, la causa non è riconducibile a un errore singolo e ben definito, ma a una race condition, cioè una situazione in cui due componenti fondamentali del sistema operano in parallelo senza un corretto coordinamento temporale, causando comportamenti imprevedibili a seconda dell’ordine e della velocità con cui vengono eseguite le operazioni: snap-confine e systemd-tmpfiles.

Il primo è un programma eseguibile con privilegi elevati (setuid-root, cioè in grado di operare come amministratore) utilizzato dal servizio snapd per creare ambienti isolati in cui eseguire le applicazioni snap. Per farlo sfrutta diverse tecnologie del kernel Linux, come i namespace (che separano le risorse di sistema), le policy AppArmor (regole di sicurezza che limitano le azioni dei programmi), i cgroup (che controllano l’uso di CPU e memoria) e i filtri seccomp (che restringono le chiamate di sistema consentite).

Il secondo è un servizio di sistema incaricato della pulizia periodica delle directory temporanee come /tmp e /var/tmp rimuovendo file obsoleti o non più necessari.

L’interazione tra questi due elementi introduce una finestra temporale prevedibile, in cui una directory utilizzata da snap-confine può essere rimossa e ricreata con contenuti controllati da un attaccante. Il risultato è un’esecuzione di codice con privilegi elevati senza alcuna richiesta di autenticazione.

Non servono exploit complessi né condizioni particolari: è sufficiente un account locale standard. Non è richiesto accesso alla rete, né interazione con la vittima.

Versioni coinvolte e superficie di attacco

Un elemento critico riguarda la diffusione di snapd, installato di default su Ubuntu Desktop a partire dalla 20.04. Anche se non sono state installate manualmente applicazioni Snap (pacchetti software isolati gestiti dal sistema Snap), il servizio continua a essere attivo e aumenta la superficie di attacco, cioè l’insieme dei possibili punti attraverso cui un sistema può essere compromesso.

Gli ambienti più esposti sono quelli multiutente: workstation aziendali condivise, laboratori universitari, sistemi kiosk e macchine di sviluppo con accessi multipli. In questi contesti, qualsiasi utente può diventare un potenziale punto di ingresso.

Come abbiamo detto, i sistemi vulnerabili includono Ubuntu Desktop 24.04 LTS, 25.10 e le build di sviluppo della 26.04. Le versioni precedenti, dalla 16.04 alla 22.04, non risultano esposte nelle configurazioni standard.

Patch disponibili e mitigazioni immediate

Canonical ha distribuito rapidamente aggiornamenti correttivi per il pacchetto snapd, risolvendo la vulnerabilità nelle versioni supportate. L’aggiornamento non richiede modifiche manuali né riavvii complessi. In un altro articolo abbiamo presentato il caso di tanti utenti che definiscono Ubuntu 25.10 senza Snap più veloce e stabile.

L’installazione delle patch avviene tramite i normali meccanismi di aggiornamento del sistema: basta eseguire il comando sudo apt update && sudo apt upgrade -y per mettersi al sicuro. Le versioni corrette includono, ad esempio, snapd 2.73 o successive per Ubuntu 24.04 LTS.

Oltre all’aggiornamento, alcune pratiche riducono ulteriormente il rischio: limitare l’accesso locale agli utenti autorizzati, monitorare le directory temporanee e applicare policy restrittive su ambienti condivisi.

Il comando snap version permette di verificare la versione del sistema Snap installata mentre uname -r la release del kernel (deve corrispondere a ubuntu24.04.1, ubuntu25.10.1 o ubuntu26.04.1 e successive).

Aggiornare non basta: perché serve capire le vulnerabilità

Limitarsi a eseguire un comando come sudo apt update && sudo apt upgrade risolve il problema ma l’intervento avviene a valle, bypassando ogni sforzo di comprensione della vulnerabilità scoperta in Ubuntu.

Un aggiornamento applica patch già sviluppate, ma non fornisce alcuna consapevolezza sul meccanismo dell’exploit, sulle condizioni necessarie per lo sfruttamento o sugli scenari in cui il sistema resta esposto.

La sicurezza non si riduce all’esecuzione di un comando: richiede la capacità di interpretare il contesto tecnico, comprendere le interazioni tra componenti e riconoscere quando una semplice routine di aggiornamento non è sufficiente a garantire protezione.

Il caso CVE-2026-3888 evidenzia un problema ricorrente: vulnerabilità generate dall’interazione tra componenti affidabili, piuttosto che da errori evidenti nel codice. Il modello di sicurezza moderno, basato su sandbox e servizi modulari, aumenta la complessità delle relazioni tra processi.

Il rafforzamento della sicurezza passa quindi da audit più approfonditi sulle interazioni tra servizi, oltre che sul codice sorgente. L’adozione di linguaggi più sicuri, come Rust per alcune utility di sistema, riduce alcune classi di errori ma non elimina i rischi legati alla logica operativa.