Vulnerabilidade no Linux permitia controle total a qualquer usuário

Uma vulnerabilidade de alta severidade no PackageKit permite que qualquer usuário comum de um sistema Linux instale ou remova pacotes como se fosse administrador.

A falha foi batizada de Pack2TheRoot e é rastreada como CVE-2026-41651, com pontuação CVSS 3.1 de 8.8. A divulgação pública ocorreu nesta semana, após coordenação com os mantenedores das distribuições afetadas.

O PackageKit é basicamente uma camada intermediária que permite gerenciar pacotes de software em diferentes distribuições Linux por meio de uma interface unificada. Ele é o componente responsável por instalar e remover programas em sistemas como Ubuntu e Fedora, inclusive a partir de interfaces gráficas.

Uma corrida que o atacante sempre ganha

O problema está em como o PackageKit lida com as permissões durante uma instalação. O fluxo normal exige que o usuário seja autorizado antes de qualquer pacote ser instalado. A falha permite burlar essa etapa.

Isso é possível porque o sistema verifica as permissões em um momento, mas só lê essas permissões de verdade em outro. Entre os dois pontos, um atacante consegue trocar os valores.

Quando a instalação finalmente acontece, o sistema usa as permissões manipuladas pelo atacante, não as originais. O resultado é a instalação de qualquer pacote como root, incluindo scripts embutidos nos pacotes, sem nenhuma senha ou autenticação.

Doze anos de superfície de ataque

Todas as versões do PackageKit entre 1.0.2 e 1.3.4 são confirmadas como vulneráveis. A versão 1.0.2 foi lançada há mais de 12 anos. Os pesquisadores acreditam que o problema existe desde a versão 0.8.1, o que ampliaria a janela de exposição para 14 anos.

A exploração foi confirmada em instalações padrão de Ubuntu Desktop 18.04, 24.04.4 e 26.04, Ubuntu Server 22.04 a 24.04, Debian Desktop Trixie 13.4, RockyLinux Desktop 10.1, e Fedora 43 Desktop e Server.

O Red Team da Deutsche Telekom, que descobriu a vulnerabilidade, avisa que qualquer distribuição que instale o PackageKit com ele ativado deve ser considerada vulnerável. Isso inclui servidores com o projeto Cockpit instalado, ferramenta de administração web que usa o PackageKit como dependência. Sistemas Red Hat Enterprise Linux entram nesse grupo.

Descoberta com auxílio de IA

A vulnerabilidade foi encontrada pelo Red Team da Deutsche Telekom durante pesquisa focada em formas de escalar privilégios em sistemas Linux modernos. A equipe usou o modelo Claude Opus, da Anthropic, como auxílio na investigação.

Segundo os pesquisadores, o modelo foi guiado em uma direção específica de análise, e os achados foram revisados e verificados manualmente antes de serem reportados de forma responsável.

Rastreando uma exploração em segundos

A falha é explorável em segundos, mas deixa rastros. Após a exploração, o daemon do PackageKit sofre uma falha interna e trava. O sistema o reinicia automaticamente, então não há interrupção visível para o usuário. O crash fica registrado nos logs e pode ser verificado com o comando journalctl –no-pager -u packagekit | grep -i emitted_finished.

Para saber se o sistema está vulnerável, basta checar a versão instalada com dpkg -l | grep -i packagekit em sistemas Debian e Ubuntu, ou rpm -qa | grep -i packagekit em Fedora e RHEL. A correção está disponível no PackageKit 1.3.5, com atualizações já distribuídas por Debian, Ubuntu e Fedora a partir de 22 de abril de 2026.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.