En los sistemas GNU/Linux, servicios como PackageKit gestionan tareas críticas como la instalación, actualización y eliminación de paquetes. Este componente funciona como un daemon en segundo plano, siendo ampliamente utilizado en múltiples distribuciones para facilitar la administración del sistema.
Sin embargo, una reciente investigación ha revelado una vulnerabilidad crítica que llevaba más de una década sin ser detectada, lo que pone en riesgo a numerosos entornos Linux.
¿Qué es la vulnerabilidad Pack2TheRoot?
Se ha descubierto una falla de seguridad denominada “Pack2TheRoot”, identificada como CVE-2026-41651, con una calificación de alta severidad (8.8/10).
Esta vulnerabilidad permite que usuarios locales sin privilegios puedan:
- Instalar paquetes del sistema
- Eliminar software crítico
- Escalar privilegios hasta obtener acceso root
El problema radica en la forma en que PackageKit maneja ciertas solicitudes, permitiendo ejecutar comandos como:
- pkcon install
sin requerir autenticación en determinadas condiciones.
Cómo se descubrió el fallo
El hallazgo fue realizado por el equipo de seguridad Deutsche Telekom Red Team, quienes analizaron el comportamiento del daemon.
Durante la investigación:
- Detectaron ejecución sin autenticación en sistemas como Fedora
- Utilizaron herramientas de IA como Claude Opus para explorar el impacto
- Confirmaron la posibilidad de escalada de privilegios
Aunque existe una prueba de concepto (PoC), sus detalles han sido ocultados para evitar explotación masiva antes de que los parches se distribuyan.
Impacto en distribuciones Linux
La vulnerabilidad afecta múltiples distribuciones que utilizan PackageKit por defecto, incluyendo:
- Ubuntu (versiones LTS como 22.04, 24.04 y beta 26.04)
- Debian 13.4 (Trixie)
- Fedora 43 (Desktop y Server)
- Rocky Linux 10.1
No obstante, la lista no es completa. Cualquier sistema con PackageKit activo podría estar comprometido.
El fallo existe desde la versión 1.0.2 (2014) hasta la 1.3.4, lo que evidencia su larga permanencia sin detección.
Riesgos asociados
El impacto de esta vulnerabilidad es significativo:
- Escalada de privilegios a root
- Manipulación de paquetes del sistema
- Posible instalación de software malicioso
- Compromiso total del sistema
Además, un indicador de explotación es que el daemon puede fallar (crash), dejando rastros en los logs del sistema, incluso si systemd lo reinicia automáticamente.
Solución y recomendaciones
La vulnerabilidad ha sido corregida en PackageKit 1.3.5, por lo que se recomienda:
1. Actualizar inmediatamente
Instalar la versión segura del paquete desde los repositorios oficiales.
2. Verificar versión instalada
Ejecutar:
rpm -qa | grep -i packagekit
3. Comprobar si el servicio está activo
pkmon
Si el daemon está en ejecución y no está actualizado, el sistema puede estar en riesgo.
Conclusión
La vulnerabilidad Pack2TheRoot (CVE-2026-41651) representa un riesgo crítico en el ecosistema Linux debido a su amplia exposición y larga existencia.
Este caso demuestra que incluso componentes fundamentales pueden contener fallos graves durante años. Por ello, mantener los sistemas actualizados y monitorear servicios activos es esencial para garantizar la seguridad y estabilidad en entornos Linux.
