CVE-2026-3888 en Ubuntu: escalada a root aprovechando snap-confine y la limpieza de systemd-tmpfiles
CVE-2026-3888 permite a un atacante con acceso local escalar privilegios hasta root en instalaciones por defecto de Ubuntu Desktop 24.04+ combinando snap-confine con la limpieza programada de systemd-tmpfiles. Aunque el ataque depende de una ventana temporal de limpieza (de 10 a 30 días según versión), el impacto final puede ser el control completo del equipo si no se actualiza snapd a versiones corregidas.
El fallo permite que un usuario local acabe ejecutando acciones como root, lo que en la práctica equivale a un compromiso total del sistema si el atacante ya ha conseguido una sesión en el equipo (por ejemplo, mediante credenciales robadas, una cuenta con pocos privilegios o acceso físico). La gravedad se califica como alta, con una puntuación CVSS 7.8 citada en el artículo.
La raíz del problema está en una interacción inesperada entre dos componentes muy comunes en estas instalaciones. Por un lado, snap-confine, pieza clave de snapd que se encarga de preparar el sandbox y aislar las aplicaciones Snap; por otro, systemd-tmpfiles, el mecanismo de systemd que aplica políticas de limpieza automática en directorios temporales como /tmp, /run o /var/tmp. El escenario descrito se apoya en el manejo del directorio /tmp/.snap: cuando la política de limpieza elimina ese directorio en un momento programado, un atacante puede aprovechar la ventana posterior para recrearlo con una estructura o contenido malicioso. La clave es que, más adelante, snap-confine vuelve a interactuar con esa ruta durante la inicialización del entorno y, si se cumplen las condiciones de carrera y permisos implicados, la cadena puede terminar derivando en ejecución con privilegios elevados.
Un matiz importante es que no se trata de un exploit ‘instantáneo’: el propio análisis indica que la explotación depende de la cadencia de limpieza. En Ubuntu 24.04, la espera típica se sitúa alrededor de 30 días, mientras que en versiones posteriores se menciona un ciclo de aproximadamente 10 días, debido a ajustes en la política de limpieza. Aun así, en entornos reales esa espera no elimina el riesgo: en un puesto de trabajo o un servidor que permanezca encendido de forma prolongada, un atacante con persistencia puede simplemente preparar el sistema y esperar a que se cumpla la condición temporal.
La recomendación principal es actualizar snapd a una versión que ya incluya la corrección. Las versiones señaladas como solucionadas incluyen 2.73+ubuntu24.04.1 para Ubuntu 24.04, 2.73+ubuntu25.10.1 para Ubuntu 25.10, 2.74.1+ubuntu26.04.1 para Ubuntu 26.04 (rama de desarrollo, según el artículo) y, en el proyecto upstream, snapd 2.75 o superior. Para equipos gestionados en flota, conviene verificar la versión instalada y priorizar los sistemas Ubuntu Desktop 24.04+ donde el uso de Snaps es parte del flujo estándar. Como medida adicional de defensa, también resulta razonable vigilar comportamientos anómalos alrededor de /tmp/.snap, especialmente recreaciones inesperadas, cambios de propietario/permisos y patrones inusuales coincidiendo con ejecuciones de snap-confine o con tareas de limpieza de systemd-tmpfiles.
Más información
- The Hacker News: https://thehackernews.com/2026/03/ubuntu-cve-2026-3888-bug-lets-attackers.html
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-3888
La entrada CVE-2026-3888 en Ubuntu: escalada a root aprovechando snap-confine y la limpieza de systemd-tmpfiles se publicó primero en Una Al Día.
Powered by WPeMatico
