Pack2TheRoot: Nova Vulnerabilidade no PackageKit Concede Acesso Root em Sistemas Linux
Pesquisadores da Deutsche Telekom Red Team descobriram uma vulnerabilidade crítica, apelidada de Pack2TheRoot (CVE-2026-41651), no PackageKit, um serviço essencial para gerenciamento de pacotes em sistemas Linux. A falha, com uma pontuação CVSS de 8.8, permite que usuários não privilegiados obtenham acesso root, comprometendo a segurança de diversas distribuições Linux.
MundiX News·02 de maio de 2026·2 min de leitura·👁 5 views
A equipe de especialistas da Deutsche Telekom Red Team revelou uma vulnerabilidade significativa no PackageKit, um serviço em segundo plano crucial para a instalação, atualização e remoção de pacotes em sistemas Linux. A falha, batizada de Pack2TheRoot e identificada como CVE-2026-41651, recebeu uma pontuação de 8.8 na escala CVSS, indicando sua alta gravidade.
A vulnerabilidade reside em uma condição do tipo TOCTOU (Time-of-Check, Time-of-Use). Essencialmente, o problema é uma combinação de três erros: flags de usuário são gravadas sem verificação de autorização, e até mesmo durante a execução da transação. Isso resulta em uma transação que opera com flags corrompidas, fazendo com que o backend veja as flags do atacante em vez das flags reais. Essa exploração permite que um usuário sem privilégios instale pacotes RPM arbitrários (incluindo scriptlets) com direitos de root e sem autenticação.
A vulnerabilidade afeta o PackageKit a partir da versão 1.0.2, lançada em novembro de 2014, e impacta todas as versões até a 1.3.4. Os pesquisadores indicam que o bug pode existir desde a versão 0.8.1, lançada há aproximadamente 14 anos. Testes realizados confirmaram a exploração em diversas distribuições, incluindo Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta), Ubuntu Server 22.04–24.04 (LTS), Debian Desktop Trixie 13.4, RockyLinux Desktop 10.1, Fedora 43 Desktop e Fedora 43 Server. É importante ressaltar que essa lista não é exaustiva, e todas as distribuições com o PackageKit pré-instalado e ativado por padrão podem ser vulneráveis. Além disso, o PackageKit é uma dependência opcional do projeto Cockpit, tornando muitos servidores com Cockpit instalado (incluindo Red Hat Enterprise Linux) potencialmente suscetíveis.
A exploração da vulnerabilidade é rápida, levando apenas alguns segundos, mas deixa rastros. Após um ataque bem-sucedido, o daemon PackageKit encerra devido a uma falha de asserção. O Systemd restaura o daemon na próxima chamada D-Bus, evitando a negação de serviço, mas o erro é registrado nos logs, servindo como um indicador de comprometimento. Detalhes técnicos e um PoC (Proof of Concept) do exploit ainda não foram divulgados, permitindo que empresas e administradores apliquem patches. A vulnerabilidade foi corrigida na versão 1.3.5 do PackageKit, e as correções já foram integradas em atualizações para Debian, Ubuntu e Fedora. Para verificar se uma versão vulnerável do PackageKit está instalada, utilize os comandos dpkg -l | grep -i packagekit ou rpm -qa | grep -i packagekit. Para verificar se o daemon está em execução, use systemctl status packagekit ou pkmon.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A equipe de especialistas da Deutsche Telekom Red Team revelou uma vulnerabilidade significativa no PackageKit, um serviço em segundo plano crucial para a instalação, atualização e remoção de pacotes em sistemas Linux. A falha, batizada de Pack2TheRoot e identificada como CVE-2026-41651, recebeu uma pontuação de 8.8 na escala CVSS, indicando sua alta gravidade.
A vulnerabilidade reside em uma condição do tipo TOCTOU (Time-of-Check, Time-of-Use). Essencialmente, o problema é uma combinação de três erros: flags de usuário são gravadas sem verificação de autorização, e até mesmo durante a execução da transação. Isso resulta em uma transação que opera com flags corrompidas, fazendo com que o backend veja as flags do atacante em vez das flags reais. Essa exploração permite que um usuário sem privilégios instale pacotes RPM arbitrários (incluindo scriptlets) com direitos de root e sem autenticação.
A vulnerabilidade afeta o PackageKit a partir da versão 1.0.2, lançada em novembro de 2014, e impacta todas as versões até a 1.3.4. Os pesquisadores indicam que o bug pode existir desde a versão 0.8.1, lançada há aproximadamente 14 anos. Testes realizados confirmaram a exploração em diversas distribuições, incluindo Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta), Ubuntu Server 22.04–24.04 (LTS), Debian Desktop Trixie 13.4, RockyLinux Desktop 10.1, Fedora 43 Desktop e Fedora 43 Server. É importante ressaltar que essa lista não é exaustiva, e todas as distribuições com o PackageKit pré-instalado e ativado por padrão podem ser vulneráveis. Além disso, o PackageKit é uma dependência opcional do projeto Cockpit, tornando muitos servidores com Cockpit instalado (incluindo Red Hat Enterprise Linux) potencialmente suscetíveis.
A exploração da vulnerabilidade é rápida, levando apenas alguns segundos, mas deixa rastros. Após um ataque bem-sucedido, o daemon PackageKit encerra devido a uma falha de asserção. O Systemd restaura o daemon na próxima chamada D-Bus, evitando a negação de serviço, mas o erro é registrado nos logs, servindo como um indicador de comprometimento. Detalhes técnicos e um PoC (Proof of Concept) do exploit ainda não foram divulgados, permitindo que empresas e administradores apliquem patches. A vulnerabilidade foi corrigida na versão 1.3.5 do PackageKit, e as correções já foram integradas em atualizações para Debian, Ubuntu e Fedora. Para verificar se uma versão vulnerável do PackageKit está instalada, utilize os comandos dpkg -l | grep -i packagekit ou rpm -qa | grep -i packagekit. Para verificar se o daemon está em execução, use systemctl status packagekit ou pkmon.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
