Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La vulnerabilità denominata Pack2TheRoot (CVE-2026-41651), consente ad utenti locali non privilegiati, di ottenere accesso root sfruttando PackageKit. Il bug, presente da oltre 12 anni, permette di installare pacchetti senza autenticazione su molte distribuzioni Linux. Il bug potrebbe esporre sistemi desktop e server a compromissione completa. La falla è stata corretta nella versione 1.3.5, ma sistemi non aggiornati restano vulnerabili.
Una nuova escalation dei privilegi, comparsa nelle ultime ore, apre una nuova superfici di rischio nei sistemi Linux. La falla, che ha uno score CVSS pari ad 8.8, è stata denominata Pack2TheRoot e consente a un utente locale, senza permessi, di ottenere l’accesso massimo a root in pochi passaggi.
Il comportamento è stato osservato su una workstation Fedora, dove il comando pkcon install installava dei pacchetti senza richiedere la password.
Al centro di questo nuovo bug di sicurezza c’è PackageKit, un sistema che gestisce i pacchetti su diverse distribuzioni. Un malintenzionato, può installare o rimuovere software dal sistema senza autorizzazione, e di conseguenza può eseguire codice con privilegi massimi. Non è un caso che il problema si evidenzia proprio in un componente progettato per semplificare la gestione dei pacchetti attraverso ambienti diversi.
La scoperta, è stata identificata dal Red Team di Deutsche Telekom, durante una ricerca mirata sulle escalation locali. Le analisi su questo ambito sono iniziate nel 2025, quando è emerso che delle operazioni non richiedevano più l’autenticazione. In una fase successiva, attraverso l’utilizzo di modelli AI come Claude Opus di Anthropic, la ricerca si è orientata verso scenari concreti di exploit, verificati successivamente in modo manuale prima della segnalazione al vendor.
Le versioni coinvolte coprono un arco temporale ampio. Si parla di tutte le release di PackageKit dalla 1.0.2 alla 1.3.4 risultano vulnerabili. Questo vuol dire che sono oltre dodici anni che il codice vulnerabile era distribuito su numerosi sistemi. Tra le piattaforme nei quali la falla è stata confermata compaiono Ubuntu (nelle versioni Desktop e Server) LTS, Debian Trixie 13.4, Fedora 43 e Rocky Linux 10.1.
Un dettaglio riguarda la presenza indiretta della vulnerabilità nei server che utilizzano Cockpit. PackageKit potrebbe essere una dipendenza opzionale, di conseguenza anche ambienti enterprise basati su Red Hat Enterprise Linux potrebbero risultare esposti se non aggiornati.
La correzione è introdotta con la versione 1.3.5, già distribuita o in fase di backport da parte dei rispettivi maintainer. Gli aggiornamenti sono stati rilasciati il 22 aprile 2026, a partire dalle ore 12:00 CEST, con pacchetti adattati per le singole distribuzioni.
Un controllo mirato e diretto sui pacchetti installati tramite dpkg o rpm permette di identificare la versione, mentre comandi come systemctl status packagekit o pkmon aiutano a capire se il servizio risulta essere attivo. PackageKit può essere avviato in modo dinamico tramite D-Bus anche se non risulta visibile tra i processi.
Dopo lo sfruttamento, il demone genera un errore di asserzione e termina in modo anomalo, lasciando tracce nei log di sistema. In un caso analizzato su Rocky Linux compare la stringa pk_transaction_finished_emit: assertion failed, seguita dal crash e dal riavvio gestito da systemd.
Il codice PoC ed è stato testato con successo su installazioni predefinite, ma questo codice ancora non risulta essere pubblico per evitare abusi. Vale la pena ricordarlo che lo sfruttamento di questo bug riduce molto il tempo necessario per compromettere una macchina non aggiornata.
