Il segreto di Linux lungo 12 anni: come un difetto dimenticato di un gestore di pacchetti ha dato agli hacker una scorciatoia verso root

Immagina una backdoor invisibile che si è nascosta in piena vista per oltre un decennio, concedendo in silenzio il controllo completo a chiunque conosca il colpo segreto. È esattamente ciò che i ricercatori di sicurezza hanno scoperto in PackageKit - un componente fondamentale usato da innumerevoli sistemi Linux in tutto il mondo. Il bug, soprannominato “Pack2TheRoot”, non si è limitato a passare tra le crepe; ci ha vissuto, indisturbato, per dodici anni, offrendo agli attaccanti un modo pulito, quasi non rilevabile, per impadronirsi delle chiavi del regno.

Scoperta dal Red Team di Deutsche Telekom all’inizio del 2025, la vulnerabilità Pack2TheRoot è un caso da manuale di come un dettaglio trascurato possa mandare in frantumi anche i sistemi più fidati. Il difetto si annida in profondità nel demone di PackageKit - il servizio in background responsabile dell’installazione e della rimozione del software. Qui, una sottile ma devastante “race condition” (in particolare, un bug Time-of-Check Time-of-Use, o TOCTOU) permette a nuove istruzioni di sovrascrivere quelle vecchie mentre un processo è ancora in esecuzione. Il risultato finale? Un attaccante senza privilegi speciali può ingannare il sistema inducendolo a eseguire i propri comandi come root, aggirando silenziosamente tutte le consuete protezioni.

Ciò che rende Pack2TheRoot particolarmente pericolosa è quanto si confonda perfettamente con la normale attività amministrativa. Niente malware, niente allarmi - solo un singolo comando e l’attaccante è al posto di guida. Come l’ha messa Joe Brinkley di Cobalt, “in pratica stai lasciando le chiavi sotto lo zerbino e sperando che nessuno controlli”. E con PackageKit in esecuzione per impostazione predefinita sulla maggior parte delle principali distribuzioni Linux, la portata dell’esposizione è impressionante. Ubuntu Desktop, Fedora, Debian, RockyLinux e perfino server enterprise che eseguono Red Hat o Cockpit sono vulnerabili se non hanno applicato la patch.

La radice tecnica del problema si riduce a tre errori di codifica fondamentali: consentire che le istruzioni vengano sovrascritte a processo in corso, non bloccare stati insicuri e aspettare fino all’ultimo secondo per verificare i flag di sicurezza. Insieme, questi errori aprono la porta all’escalation dei privilegi in locale - il percorso preferito dagli hacker verso la presa di controllo totale. Sebbene l’exploit lasci una traccia di crash nei log di sistema, è facile che si perda nel rumore quotidiano delle operazioni.

Red Hat e altri vendor sono stati informati privatamente nell’aprile 2026, e una correzione rapida è stata distribuita nella versione 1.3.5. Ma i ricercatori avvertono che, anche adesso, molti sistemi restano senza patch. “Quando un componente di gestione dei pacchetti può essere sfruttato per ottenere accesso root, mina l’integrità dell’intero sistema e qualsiasi affermazione di conformità costruita sopra di esso”, ha avvertito Dale Hoak, CISO di RegScale. Le organizzazioni che non riescono a rendicontare ogni istanza di PackageKit possono essere conformi sulla carta - ma pericolosamente esposte nella pratica.

Pack2TheRoot è un promemoria netto: anche i componenti open source più affidabili possono nascondere segreti vecchi di dieci anni. Per gli amministratori di sistema e per gli utenti Linux di tutti i giorni, il messaggio è chiaro: controllate la vostra versione di PackageKit e applicate la patch ora, prima che qualcun altro trovi le vostre “chiavi sotto lo zerbino”.

WIKICROOK

• Escalation dei privilegi: L’escalation dei privilegi si verifica quando un attaccante ottiene un accesso di livello superiore, passando da un normale account utente ai privilegi di amministratore su un sistema o una rete.
• Demone: Un demone è un processo in background che gira continuamente su un computer, svolgendo attività essenziali di sistema o di rete senza interazione diretta dell’utente.
• Race condition: Una race condition è un bug in cui azioni simultanee di più processi causano errori imprevedibili o vulnerabilità nei sistemi software.
• TOCTOU (Time: TOCTOU è una race condition in cui una risorsa di sistema cambia stato tra la verifica e l’uso, potenzialmente consentendo agli attaccanti di sfruttare questo divario temporale.
• Accesso root: L’accesso root è il livello più alto di controllo del sistema, che consente modifiche senza restrizioni, eliminazioni o accesso a qualsiasi file e impostazione su un dispositivo.