Недавно специалисты по кибербезопасности выявили опасную ошибку в популярном инструменте сборки контейнеров BuildKit. Эта уязвимость получила идентификатор CVE-2026-33747 в международной системе, а в российском Банке данных угроз безопасности информации (BDU) - номер BDU:2026-07149. Проблема оказалась настолько серьёзной, что её базовый балл по метрике CVSS 3.1 достиг 9,8 из 10. Это означает, что любой удалённый злоумышленник может использовать её без предварительной аутентификации.
Детали уязвимости
BuildKit - это программное средство, которое автоматизирует процесс создания образов контейнеров. Оно широко применяется в экосистеме Docker и входит в состав продуктов Red Hat, включая платформы OpenShift, Quay и многие другие. Кроме того, уязвимость затронула российскую операционную систему РЕД ОС версий 7.3 и 8.0 от компании "Ред Софт". В списке уязвимых продуктов значатся также инструменты миграции, сервисные сетки и средства защиты данных.
Причина ошибки кроется в неверном ограничении имени пути к каталогу с ограниченным доступом. В терминологии CWE это описывается как "обход пути" (CWE-22). Говоря простыми словами, злоумышленник может манипулировать параметрами запроса, чтобы выйти за пределы разрешённой папки и получить доступ к файлам, которые должны быть защищены. Поскольку BuildKit работает с высокой привилегией, атака может привести к полному компрометации системы.
Суть эксплуатации предельно проста. Злоумышленнику не требуется никаких учётных данных. Ему достаточно отправить специально сформированный запрос к уязвимому серверу BuildKit. В результате он получает возможность читать, изменять или удалять любые данные на хосте. Это касается конфигурационных файлов, ключей шифрования, баз данных и другой конфиденциальной информации.
Особую тревогу вызывает тот факт, что уязвимость затрагивает не только сам BuildKit, но и десятки продуктов Red Hat. Например, реестр контейнеров Red Hat Quay, платформу оркестрации OpenShift Container Platform, инструменты миграции и даже модуль Pen Drive с голосовым ассистентом Red Hat Lightspeed. Список включает более двадцати наименований. Для российской экосистемы особенно значимо, что под ударом оказалась РЕД ОС - сертифицированная операционная система, используемая в государственных и корпоративных сетях.
Производители уже подтвердили уязвимость и выпустили обновления. Docker устранил проблему в версии BuildKit 0.28.1. Red Hat рекомендует обновить все затронутые продукты согласно инструкциям на своём портале безопасности. Для РЕД ОС "Ред Софт" предоставил патчи через систему обновлений. Однако важно понимать: автоматические обновления могут быть отключены в изолированных средах, поэтому администраторам необходимо действовать вручную.
Статус эксплойта на данный момент уточняется. Но учитывая высокий уровень опасности, можно предположить, что рабочие примеры атаки появятся в ближайшее время. Метод эксплуатации относится к категории "манипулирование ресурсами": злоумышленник изменяет пути к файлам, чтобы обойти проверки безопасности.
Каковы последствия для бизнеса? Прежде всего, компании, использующие контейнеризацию на платформах Red Hat или РЕД ОС, должны срочно провести аудит версий. Если службы сборки образов доступны из интернета, риск возрастает многократно. Атакующий может украсть секреты, которые хранятся в образах или переменных окружения. Кроме того, возможен отказ в обслуживании или запуск вредоносного кода непосредственно в конвейере разработки.
В последние годы контейнерные технологии стали основой современной разработки. Поэтому подобные уязвимости могут затронуть сотни организаций, которые полагаются на непрерывную интеграцию и доставку (CI/CD). Любой сбой в цепочке сборки способен парализовать выпуск новых версий программного обеспечения.
Тем не менее, не стоит паниковать. Уязвимость уже устранена, и патчи доступны. Основная задача ИБ-специалистов - обеспечить своевременное обновление. В первую очередь нужно обновить сам BuildKit до версии 0.28.1. После этого следует переустановить все затронутые компоненты Red Hat и применить исправления для РЕД ОС. Дополнительно рекомендуется ограничить сетевой доступ к API BuildKit, если это не нарушает бизнес-процессы. Также нелишним будет проверить журналы на предмет аномальных обращений к путям, содержащим "../" или другие символы обхода. Внедрение систем обнаружения вторжений (IDS) может помочь выявить попытки эксплуатации на ранней стадии.
В целом, этот инцидент ещё раз доказывает, что даже зрелые open-source-проекты не застрахованы от ошибок. Критический уровень опасности CVE-2026-33747 - серьёзный сигнал для всех участников рынка: безопасность конвейеров сборки должна быть приоритетом. Обновляйте системы, тестируйте патчи в изолированных средах и следите за лентами уязвимостей. Только так можно минимизировать риски в эпоху повсеместной контейнеризации.
Ссылки
- https://bdu.fstec.ru/vul/2026-07149
- https://www.cve.org/CVERecord?id=CVE-2026-33747
- https://github.com/moby/buildkit
- https://github.com/moby/buildkit/security/advisories/GHSA-4c29-8rgm-jvjj
- https://github.com/moby/buildkit/releases/tag/v0.28.1
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-33747
- https://access.redhat.com/security/cve/cve-2026-33747
