Un problème de sécurité d’une grande gravité a été découvert dans les installations par défaut des versions Ubuntu Desktop 24.04 et suivantes, pouvant permettre à un attaquant de gagner des privilèges root. Identifiée comme la faille CVE-2026-3888 avec un score CVSS de 7,8, cette faiblesse expose les systèmes vulnérables à une prise de contrôle totale. Les interactions inattendues entre deux composants système standards, snap-confine et systemd-tmpfiles, sont au cœur de cette vulnérabilité.
Décryptage de la vulnérabilité CVE-2026-3888 d’Ubuntu
Une combinaison dangereuse de snap-confine et systemd-tmpfiles
La vulnérabilité exploite l’interaction involontaire entre snap-confine et systemd-tmpfiles. Snap-confine gère les environnements d’exécution des applications snap en créant un bac à sable, tandis que systemd-tmpfiles nettoie automatiquement les fichiers temporaires dépassés. Le problème se pose lorsque ces fichiers temporaires sont nettoyés, car leur suppression inattendue permet à un attaquant de les recréer avec une charge malveillante qui obtenue l’exécution de code arbitraire sous les privilèges root.
Mécanisme complexe d’attaque basé sur le timing
L’attaque nécessite que l’attaquant attende que le démon de nettoyage du système supprime un répertoire essentiel (par exemple /tmp/.snap). Dans ce répertoire supprimé, l’attaquant recrée des fichiers malveillants. Lors de la prochaine initialisation du bac à sable, snap-confine monte ces fichiers comme root, entraînant une compromission complète du système. La complexité de l’attaque est élevée en raison de la fenêtre de temps requise, mais elle ne nécessite pas d’interaction utilisateur et nécessite peu de privilèges de départ.
Mesures de mitigation et correctifs déployés
Versions touchées par le problème de sécurité
La vulnérabilité a été corrigée dans plusieurs versions : Ubuntu 24.04 LTS avec les versions de snapd antérieures à 2.73+ubuntu24.04.1, Ubuntu 25.10 LTS avant 2.73+ubuntu25.10.1, et Ubuntu 26.04 LTS (développement) avant 2.74.1+ubuntu26.04.1. Le snapd en amont a également été corrigé dans les versions antérieures à 2.75.
Adaptations dans les utilitaires système pour contrer les menaces
Par ailleurs, un problème de condition de concurrence dans le package uutils coreutils a été découvert. Ce défaut permet à un attaquant non privilégié de remplacer les entrées de répertoire par des liens symboliques pendant les exécutions cron sous propriété root. Afin de réduire ce risque, la commande rm par défaut dans Ubuntu 25.10 a été changée pour revenir à GNU coreutils. Ces correctifs démontrent l’importance de l’audit de cybersécurité dans la détection proactive des failles.
La grande complexité de l’attaque met en évidence l’importance de mesures de cybersécurité robustes, telles que la surveillance des endpoints, essentielle dans la défense des entreprises contre les compromissions systémiques. Découvrez comment nos services de surveillance des endpoints peuvent vous protéger contre de telles menaces.
