🔍 Contexte

Publié le 22 avril 2026 par l’équipe Red Team de Deutsche Telekom sur leur blog sécurité GitHub, cet article divulgue de manière coordonnée une vulnérabilité haute sévérité baptisée Pack2TheRoot, référencée CVE-2026-41651 (CVSS 3.1 : 8.8).

🎯 Nature de la vulnérabilité

La vulnérabilité réside dans le démon PackageKit, une couche d’abstraction de gestion de paquets multi-distributions. Elle permet à un attaquant local non privilégié d’installer ou supprimer des paquets système sans autorisation, conduisant à une élévation de privilèges complète (root).

Toutes les versions de PackageKit >= 1.0.2 et <= 1.3.4 sont vulnérables, soit une fenêtre de plus de 12 ans d’exposition.

🖥️ Systèmes affectés (confirmés)

  • Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta)
  • Ubuntu Server 22.04 – 24.04 (LTS)
  • Debian Desktop Trixie 13.4
  • RockyLinux Desktop 10.1
  • Fedora 43 Desktop et Server
  • Potentiellement : tout système avec PackageKit activé, y compris RHEL via Cockpit

🔬 Découverte et méthode

La vulnérabilité a été découverte par le Red Team de Deutsche Telekom lors de recherches ciblées sur les vecteurs LPE Linux. L’investigation a débuté en 2025 après observation qu’une commande pkcon install pouvait installer un paquet sans mot de passe sur Fedora Workstation. La recherche a été assistée par Claude Opus (Anthropic) pour orienter l’exploration, avec vérification manuelle avant signalement responsable.

🚨 Indicateurs de compromission

L’exploitation laisse une trace observable dans les journaux système : le démon PackageKit subit une assertion failure et crashe après exploitation réussie.

j o u r n a l c t l - n o - p a g e r - u p a c k a g e k i t | g r e p - i e m i t t e d _ f i n i s h e d

Ligne caractéristique :

p a c k a g e k i t d [ 2 0 8 2 ] : P a c k a g e K i t : E R R O R : . . / s r c / p k - t r a n s a c t i o n . c : 5 1 4 : p k _ t r a n s a c t i o n _ f i n i s h e d _ e m i t : a s s e r t i o n f a i l e d

🛠️ Correctif

La vulnérabilité est corrigée dans PackageKit 1.3.5, disponible depuis le 22 avril 2026 à 12h00 CEST, avec des backports distribués par les mainteneurs de distributions. Advisory GitHub : GHSA-f55j-vvr9-69xv.

📋 Type d’article

Il s’agit d’une divulgation coordonnée de vulnérabilité (rapport de vulnérabilité) accompagnée d’une analyse technique partielle, d’IOCs et d’une timeline de coordination, publiée par l’équipe de recherche offensive de Deutsche Telekom.

🧠 TTPs et IOCs détectés

TTP

  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)

IOC

  • CVEs : CVE-2026-41651NVD · CIRCL
  • Chemins : /src/pk-transaction.c

🔗 Source originale : https://github.security.telekom.com/2026/04/pack2theroot-linux-local-privilege-escalation.html