Послушайте, я в этой сфере уже два десятка лет, и каждый раз, когда появляется новый эксплойт, всё идёт по накатанной. PR представляет это как мелкую неприятность, вендоры безопасности рекламируют свои новейшие решения, а где-то горстка инженеров судорожно ищет выход. Но с этой Pack2TheRoot всё немного иначе. Здесь не теневой государственный хакер, а дыра, ни много ни мало, в вашем системном менеджере пакетов.
Вот в чём дело: PackageKit, этот слой, призванный упростить управление пакетами в различных дистрибутивах Linux, имеет дыру размером с Техас. И любой, абсолютно любой, кто имеет хотя бы намёк на пользовательский доступ, может спокойно проехать туда на грузовике. Команда Red Team из Deutsche Telekom её обнаружила, и, честно говоря, их описание настолько прямолинейно, что невольно усмехаешься, а потом тут же начинаешь паниковать.
Насколько это реально легко эксплуатировать?
Судя по всему, да. Они называют это состоянием гонки ‘time-of-check time-of-use’ (TOCTOU). Заумные слова для ситуации, когда система что-то проверяет, решает, что всё в порядке, но к моменту, когда она действительно выполняет действие, условия изменились, и БАМ! Получаете неуправляемый поезд. В данном случае это означает, что непривилегированный пользователь может подсунуть вредоносные флаги в запрос на установку пакета. Система, бедная, не перепроверяет эти флаги, когда фактически выполняет установку. Таким образом, она устанавливает любой произвольный RPM, который вы хотите, с прилагаемыми скриптлетами — представьте маленькие кусочки кода, которые выполняются во время установки — всё это от имени root. Никакой аутентификации, никаких заморочек. Просто… root-доступ. Проще простого.
«Несмотря на то, что уязвимость надёжно эксплуатируется за секунды, она оставляет следы, которые служат сильным индикатором компрометации».
Эта цитата самих обнаружителей — золото. Они признают, что это быстро, просто, но, по крайней мере, следы останутся в логах. Если повезёт. И если вы знаете, что искать. Большинство системных администраторов и так тонут в логах, так что удачи вам с этим.
Кто реально зарабатывает на этом?
Это, конечно, главный вопрос, не так ли? На данный момент никто не зарабатывает напрямую на Pack2TheRoot, кроме, возможно, тех, кто продаст вам магическую пулю для исправления ситуации. Но кто выигрывает в долгосрочной перспективе? Очевидно, злоумышленники. Представьте себе компрометацию сервера, просто отправив пару команд через его менеджер пакетов. Это цифровой эквивалент подсовывания охраннику двадцати долларов, чтобы пройти за кулисы. А для дистрибьюторов это ещё одно пятно на репутации, ещё один патч, который нужно выпустить, ещё одна причина для пользователей усомниться в их безопасности.
Уязвимость, CVE-2026-41651, имеет оценку CVSS 8.1. Это уверенная ‘высокая степень серьёзности’. И она существовала, потенциально с версии 0.8.1, которая была выпущена… приготовьтесь… четырнадцать лет назад. Четырнадцать лет! Мы говорим о баге, который появился раньше, чем iPhone 4. Как нечто столь фундаментальное живёт так долго? Это доказательство того, сколько кода существует, который едва трогают, не говоря уже о тщательной проверке. А PackageKit, задуманный как полезная абстракция, превратился в абстрактный кошмар.
Какие дистрибутивы реально затронуты?
Deutsche Telekom предоставила нам список, и он невесёлый. Ubuntu Desktop 18.04 (что древнее и неподдерживаемое, так что позор вам, если вы до сих пор его используете), 24.04.4 и 26.04 (LTS бета, неплохо), Ubuntu Server 22.04-24.04 (LTS, больно), Debian Desktop Trixie 13.4, RockyLinux Desktop 10.1, Fedora 43 Desktop и Server. И они весьма прямолинейны: ‘Можно предположить, что все дистрибутивы, использующие PackageKit с включённой функцией, уязвимы’. Это включает многие серверы с установленным Cockpit, который часто подтягивает PackageKit. Так что, да, пользователи RHEL, вам, возможно, стоит обратить внимание.
Это не какая-то малоизвестная zero-day уязвимость в нишевом приложении. Это фундаментальный компонент, который находится поверх того, как вы управляете программным обеспечением на вашем Linux-компьютере. Если PackageKit включён, а на десктопных системах он обычно включён, вы потенциально подвержены риску. Исправление существует — в PackageKit версии 1.3.5 оно есть, и обновления уже распространяются. Но ущерб уже нанесён. Годами существовала эта зияющая дыра, молчаливое приглашение для всех, кто обладает хоть какими-то техническими знаниями.
Мой вердикт? Это тревожный звонок. Мы так сосредоточены на угрозах ИИ, шпионаже со стороны государств и сложном вредоносном ПО, что забываем про самые лёгкие цели. Эта уязвимость Pack2TheRoot — цифровой эквивалент оставленной незапертой входной двери. Дело не в изощрённом хакинге; дело в элементарной гигиене. И, честно говоря, заставляет задуматься, что ещё скрывается в коде, на который мы все полагаемся, который едва трогают и любят десятилетиями.
🧬 Связанные материалы
- Читать далее: RSAC 2026: Хакерские байки встречаются с человеческой реальностью в кибербезопасности
- Читать далее: Что такое уязвимость Zero-Day?
