Se ha emitido una alerta de alta severidad tras la divulgación pública de una vulnerabilidad crítica de escalada de privilegios local (LPE) denominada “Pack2TheRoot”. Identificada como CVE-2026-41651 (CVSS 3.1: 8.8), esta falla estructural afecta a múltiples distribuciones principales de Linux en sus configuraciones predeterminadas. Descubierta por analistas de seguridad, la vulnerabilidad reside en el demonio PackageKit y permite a cualquier usuario local sin privilegios instalar o eliminar paquetes del sistema de forma silenciosa, logrando finalmente el acceso total de superusuario (root) sin necesidad de contraseña.
Anatomía de la Vulnerabilidad
El defecto se encuentra en PackageKit, una capa de abstracción de gestión de paquetes transversal que se utiliza en sistemas basados en Debian, Ubuntu, Fedora y Red Hat.
- Evasión de Autenticación: La vulnerabilidad abusa de una falla en la forma en que el demonio interactúa con los controles de autorización (Polkit). Un atacante con acceso local básico puede ejecutar comandos (como pkcon install) para instalar paquetes maliciosos o eliminar componentes críticos de seguridad eludiendo las comprobaciones de permisos.
- Superficie de Exposición Histórica: El fallo ha estado presente en el código base durante más de 12 años, afectando a todas las versiones de PackageKit desde la 1.0.2 hasta la 1.3.4.
- Riesgo en Servidores Empresariales: Aunque inicialmente es un vector local, el riesgo se amplifica drásticamente en entornos empresariales porque PackageKit es una dependencia opcional de Cockpit, un proyecto de gestión de servidores web muy extendido (incluyendo Red Hat Enterprise Linux – RHEL).
- Ejecución Silenciosa pero Trazable: Aunque existe un exploit funcional (PoC) que logra la ejecución de código como root en segundos, la explotación desencadena un error de aserción (assertion failure) que provoca la caída del demonio PackageKit, dejando una huella forense específica en los registros del sistema.
Impacto
La viabilidad del ataque ha sido probada y confirmada en las instalaciones predeterminadas de sistemas ampliamente utilizados, incluyendo:
- Ubuntu Desktop (18.04 hasta 26.04 LTS Beta) y Ubuntu Server (22.04 y 24.04 LTS).
- Debian Desktop Trixie (13.4).
- Fedora 43 Desktop/Server y Rocky Linux Desktop 10.1.
El acceso root permite a un intruso desplegar ransomware, instalar rootkits persistentes, extraer secretos corporativos o pivotar hacia otras áreas de la red, siendo un vector secundario perfecto tras obtener un acceso inicial de bajo nivel (por ejemplo, a través de credenciales web comprometidas).
Recomendaciones y Mitigación
Se ha liberado la versión parcheada PackageKit 1.3.5 (22 de abril de 2026). Los administradores de TI deben actuar de inmediato:
- Auditoría de Presencia: Debido a que PackageKit y Cockpit pueden activarse bajo demanda a través de D-Bus, revisar la lista de procesos activos no es suficiente. Verifique la instalación con los gestores de paquetes correspondientes:
- Debian/Ubuntu: dpkg -l | grep -i packagekit
- Sistemas basados en RPM: rpm -qa | grep -i packagekit
- Parcheo Inmediato: Aplicar las actualizaciones de los repositorios oficiales de su distribución para actualizar PackageKit a la versión parcheada. Esto es críticamente urgente en servidores expuestos a Internet que ejecuten Cockpit.
- Cacería de Amenazas (IoC): Monitorear los registros del sistema con systemd para detectar posibles explotaciones previas. Una falla de aserción en pk-transaction.c:514 es un fuerte indicador de compromiso activo. Ejecute el siguiente comando para buscar esta firma:
- journalctl –no-pager -u packagekit | grep -i emitted_finished
