Pack2TheRoot: vulnerabilità critica Linux root senza password
Pack2TheRoot (CVE-2026-41651) colpisce PackageKit su Linux da 12 anni. CVSS 8.8, accesso root locale senza password. Patch disponibili: ecco cosa sapere.
Contenuto
Scopri anche
- App UE verifica età hackerata in 2 minuti: il gap tra promesse e realtà
- Microsoft rilascia aggiornamento di emergenza per Windows 11 e delinea piano di miglioramenti per il 2026
- Exploit su LMDeploy CVE-2026-33626: attacco SSRF immediato dopo disclosure
- Verifica biometrica Tinder: impatto privacy e analisi del sistema World
- ShadowMountPlus e Poops-PS5-Java: nuovi strumenti per la gestione di dump ed exploit kernel su PlayStation 5
- Sorveglianza globale: Citizen Lab svela exploit reti, Italia coinvolta
- Meta e riconoscimento facciale: 77 organizzazioni lanciano l'allarme
- UNC6692: nuova minaccia Teams colpisce decisori aziendali
- Vitalik Buterin dettaglia la sua configurazione LLM locale e autonoma
- Bitwarden CLI compromesso: attacco supply chain viola npm Trusted Publishing
- DeepL Voice-to-Voice: traduzione vocale in tempo reale per le aziende
- Backdoor FIRESTARTER: CISA aggiorna la direttiva dopo violazione federale
- Intel pubblica Optimization Zone, repository di guide per l'ottimizzazione software
- BlueHammer zero-day Windows: analisi tecnica e rischi
- Anthropic Mythos e il dibattito sulla sicurezza informatica: capacità, rischi e scetticismo
- Zero-Day SharePoint: perché il CVSS 6.5 è ingannevole
- CIQ e AMD collaborano per ottimizzare Rocky Linux per carichi di lavoro AI e HPC
- Apache ActiveMQ: zero-day sfruttato attivamente, patch urgente
- Cerebras quota a Nasdaq con valutazione da 35 miliardi: la sfida per il mercato dei chip AI inference
- Ransomware The Gentlemen: 1.570 reti violate nell'ombra
Una vulnerabilità con CVSS score pari a 8.8 è rimasta nascosta nel codice di PackageKit per oltre dodici anni, esponendo milioni di sistemi Linux desktop a escalation di privilegi senza richiesta di password. Denominata Pack2TheRoot (CVE-2026-41651), la falla è stata svelata il 23 aprile 2026 e interessa tutte le versioni di PackageKit dalla 1.0.2 alla 1.3.4 compresa.
Cos'è Pack2TheRoot e come funziona l'attacco
Secondo Cyber Kendra, "una vulnerabilità appena divulgata in un componente Linux quasi universale ha consegnato a qualsiasi utente locale senza privilegi le chiavi dell'intero sistema — niente password, niente catena di exploit, niente congetture richieste". La natura della vulnerabilità risiede in una race condition che permette di bypassare i controlli di autorizzazione PolicyKit (polkit) attraverso l'interfaccia D-Bus.
Il Red Team di Deutsche Telekom, assistito da analisi AI con Claude Opus, ha identificato il problema che affligge PackageKit, il demone di gestione pacchetti presente in quasi tutte le distribuzioni Linux desktop come componente predefinito. Come riporta Cyber Kendra, "il bug esiste dalla versione PackageKit 1.0.2, rilasciata oltre 12 anni fa, il che significa che la base di codice vulnerabile è stata distribuita all'interno di innumerevoli sistemi Linux come componente predefinito per oltre un decennio".
Quali distribuzioni sono vulnerabili
Le distribuzioni confermate vulnerabili includono:
- Ubuntu Desktop 18.04, 24.04.4, 26.04 beta
- Ubuntu Server 22.04-24.04
- Debian Trixie 13.4
- Rocky Linux 10.1
- Fedora 43 Desktop e Server
Un aspetto particolarmente insidioso riguarda i server che eseguono Cockpit: questi possono essere esposti anche quando PackageKit non è in esecuzione come servizio persistente, poiché entrambi si attivano su richiesta tramite D-Bus. La superficie di attacco risulta quindi ampliata oltre i tradizionali sistemi desktop.
Il meccanismo tecnico della race condition
La vulnerabilità deriva da una mancata corretta validazione dei privilegi del chiamante nell'interfaccia D-Bus. I metodi esposti come InstallPackage, RemovePackage e UpdatePackages non validano correttamente i privilegi quando invocati via local session bus, permettendo a qualsiasi utente locale senza privilegi di installare o rimuovere pacchetti di sistema senza autorizzazione.
Come ha spiegato Cyber Kendra, "il team — assistito da analisi AI guidata usando Claude Opus — ha infine identificato una race condition sfruttabile". Dopo lo sfruttamento riuscito, il demone PackageKit crasha con un assertion failure, lasciando traccia nei log di sistema come potenziale indicatore di compromissione.
Le patch disponibili e le versioni corrette
La fix è disponibile in PackageKit 1.3.5, con patch rilasciate da Debian, Ubuntu e Fedora il 22 aprile 2026. Gli amministratori di sistema sono invitati a verificare la versione installata e procedere con l'aggiornamento alle versioni corrette il prima possibile, considerando l'elevato punteggio CVSS e la semplicità di sfruttamento.
Le versioni di PackageKit interessate vanno dalla 1.0.2 alla 1.3.4. PackageKit 1.0.2 è stato rilasciato oltre dodici anni fa, rendendo la superficie di attacco storica particolarmente ampia. L'ampia diffusione del componente come elemento standard nelle distribuzioni Linux desktop aumenta significativamente il numero potenziale di sistemi esposti.
Domande frequenti
- Qual è il punteggio CVSS della vulnerabilità Pack2TheRoot?
- La vulnerabilità Pack2TheRoot ha un punteggio CVSS di 8.8, classificato come livello High, che indica una gravità significativa per i sistemi affetti.
- Pack2TheRoot richiede password per ottenere privilegi root?
- No, la vulnerabilità Pack2TheRoot non richiede password né catena di exploit. Un utente locale senza privilegi può ottenere accesso root completo sfruttando la race condition in PackageKit.
- Quali versioni di PackageKit sono vulnerabili?
- Tutte le versioni di PackageKit dalla 1.0.2 alla 1.3.4 sono vulnerabili. La versione corretta è PackageKit 1.3.5, rilasciata con le patch del 22 aprile 2026.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Fonti
- https://www.redhotcyber.com/post/linux-sotto-tiro-la-falla-pack2theroot-consente-accesso-root-in-pochi-secondi/
- https://turbolab.it/server-1224/pack2theroot-minaccia-linux-sfruttando-bug-packagekit-4641
- https://managedserver.it/vulnerabilita-gravissima-su-linux-per-ora-sconosciuta-scoperta-da-evilsocket/
- https://www.miamammausalinux.org/2020/03/los-piu-vulnerabile-e-linux/
- https://www.cybertrends.it/scoperta-grave-vulnerabilita-nella-libreria-principale-di-linux-consente-di-ottenere-i-privilegi-di-root/