Ubuntu’da Kritik Güvenlik Açığı
Ubuntu Desktop sistemlerinin 24.04 ve sonrasındaki varsayılan kurulumlarında yüksek tehlike arz eden bir güvenlik açığı tespit edildi. Bu açık, saldırganların sistem üzerinde kök seviyesinde yetki artırımı yapmasını sağlıyor ve bu durumun ciddiyeti, CVE-2026-3888 kodu ile izleniyor (CVSS puanı: 7.8).
Açığın Tanımı ve Etkisi
Bu açık, CVE-2026-3888, yetkisiz bir yerel saldırganın iki standart sistem bileşeni olan snap-confine ve systemd-tmpfiles arasındaki etkileşim sayesinde kök erişimi elde etmesine olanak tanır. Qualys Tehdit Araştırma Birimi’ne göre, bu açığın kötüye kullanılması belirli bir zaman dilimini gerektiriyor; bu süre 10 ile 30 gün arasında değişiyor. Ancak, bu sürede gerçekleştirilen bir saldırı, hedef sistemin tamamen ele geçirilmesine yol açabiliyor.
Sorunun kökeni, snap-confine’in snap uygulamaları için yürütme ortamlarını yönetmesi ve systemd-tmpfiles’in belirli bir eşik süresinden daha eski olan geçici dosyaları otomatik olarak silmesinden kaynaklanıyor.
Etkilenen Sistemler
Bu zafiyet, aşağıdaki sürümlerde düzeltildi:
- Ubuntu 24.04 LTS – snapd sürümleri 2.73+ubuntu24.04.1 öncesi
- Ubuntu 25.10 LTS – snapd sürümleri 2.73+ubuntu25.10.1 öncesi
- Ubuntu 26.04 LTS (Geliştirme) – snapd sürümleri 2.74.1+ubuntu26.04.1 öncesi
- Upstream snapd – sürümleri 2.75 öncesi
Saldırının başarılı bir şekilde gerçekleştirilebilmesi için düşük yetkinlikler yeterli olup, kullanıcı müdahalesi gerektirmemektedir, ancak saldırı karmaşıklığı, kötüye kullanım zincirindeki zaman gecikmesi nedeniyle yüksektir.
Saldırı Nasıl Çalışıyor?
Saldırı şu şekilde gerçekleştirilmektedir:
- Bir saldırganın, sistemin temizleme daemon’unun snap-confine için gereken kritik dizini (/tmp/.snap) silmesini beklemesi gerekir. Ubuntu 24.04’te bu süre 30 gün, daha sonraki versiyonlarda ise 10 gündür.
- Silindikten sonra saldırgan, zararlı içeriklerle bu dizini tekrar oluşturur.
- Sonraki sandbox başlatma sırasında, snap-confine bu dosyaları kök olarak bind mount eder ve burada rasgele kodların ayrıcalıklı bir ortamda çalıştırılmasına olanak tanır.
Ayrıca, Qualys, uutils coreutils paketi içinde, yetkisiz bir yerel saldırganın kök sahibi cron çalıştırmaları sırasında dizin girişlerini sembolik bağlantılarla (symlink) değiştirebilmesine olanak tanıyan bir yarış durumu zafiyeti keşfetti.
Çözüm ve Korunma
Bu tür zafiyetlere karşı korunmak için kullanıcıların dikkate alması gereken adımlar şunlardır:
- Ubuntu sisteminizi en son kararlı sürüme güncelleyin.
- Güvenlik güncellemelerini zamanında uygulayın.
- Varsayılan yapılandırmaları gözden geçirerek, gereksiz portları kapatın ve güvenlik duvarı kurallarını uygulayın.
Sonuç olarak, CVE-2026-3888 ile ilgili zafiyetin ciddi sonuçları olabileceğinden, sistem sahiplerinin gerekli güncellemeleri hemen uygulaması ve saldırıya açık durumları minimize etmek için yapılandırmalarında dikkatli olmaları büyük önem taşımaktadır.
