Nová zranitelnost Pack2TheRoot umožňuje útočníkům získat root přístup na Linuxu

Nově objevená bezpečnostní chyba nazvaná Pack2TheRoot může být zneužita v démonu PackageKit, aby lokálním uživatelům Linuxu umožnila instalovat nebo odstraňovat systémové balíčky a získat oprávnění roota.

Zranitelnost je evidována jako CVE-2026-41651 a obdržela vysoké hodnocení závažnosti 8,8 z 10. V démonu PackageKit se vyskytuje již téměř 12 let – jedná se o službu běžící na pozadí, která spravuje instalaci softwaru, aktualizace a odstraňování balíčků napříč linuxovými systémy.

Nedávno byly zveřejněny některé informace o zranitelnosti spolu s verzí PackageKit 1.3.5, která daný problém řeší. Technické podrobnosti ani ukázka funkčního exploitu však prozatím nebyly zveřejněny, aby se záplaty stihly dostatečně rozšířit.

Výzkum Deutsche Telekom Red Teamu odhalil, že příčinou chyby je mechanismus, který PackageKit používá ke zpracování požadavků na správu balíčků.

Konkrétně výzkumníci zjistili, že příkazy jako pkcon install mohou být za určitých podmínek na systému Fedora spuštěny bez nutnosti ověření totožnosti, čímž útočníkovi umožní instalaci systémového balíčku.

Pomocí nástroje AI Claude Opus následně prozkoumali potenciál pro zneužití tohoto chování a objevili CVE-2026-41651.

Dopad a opravy

Red Team Deutsche Telekom nahlásil svá zjištění společnostem Red Hat a správcům PackageKitu dne 8. dubna. Výzkumníci uvádějí, že lze bezpečně předpokládat, že všechny distribuce, které jsou dodávány s předinstalovaným a ve výchozím nastavení povoleným PackageKitem, jsou vůči CVE-2026-41651 zranitelné.

Zranitelnost se vyskytuje ve verzi PackageKit 1.0.2, vydané v listopadu 2014, a postihuje všechny verze až po 1.3.4, jak vyplývá z bezpečnostního upozornění projektu.

Testování výzkumníků potvrdilo, že útočník je schopen zneužít zranitelnost CVE-2026-41651 v následujících linuxových distribucích:

  • Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta)
  • Ubuntu Server 22.04 – 24.04 (LTS)
  • Debian Desktop Trixie 13.4
  • RockyLinux Desktop 10.1
  • Fedora 43 Desktop
  • Fedora 43 Server

 

Tento seznam však není vyčerpávající a každá linuxová distribuce využívající PackageKit by měla být považována za potenciálně zranitelnou vůči útokům.

Uživatelé by měli co nejdříve aktualizovat na verzi PackageKit 1.3.5 a zajistit, aby veškerý další software, který tento balíček využívá jako závislost, byl přesunut na bezpečnou verzi.

K ověření, zda mají nainstalovanou zranitelnou verzi PackageKitu a zda je démon spuštěn, mohou uživatelé použít následující příkazy:

dpkg -l | grep -i packagekit
rpm -qa | grep -i packagekit

Ke kontrole dostupnosti a běhu démonu PackageKit lze spustit příkaz systemctl status packagekit nebo pkmon. Pokud démon běží a systém nebyl záplatován, je potenciálně ohrožen.

Přestože podrobnosti o stavu aktivního zneužívání nebyly sdíleny, výzkumníci upozornili na výrazné indikátory kompromitace – zneužití totiž způsobuje, že démon PackageKit narazí na chybu assertion a spadne.

I když jej systemd obnoví, pád je zaznamenatelný v systémových logu.

Zdroj: bleepingcomputer.com

Zdroj: IT SECURITY NETWORK NEWS