В Банке данных угроз безопасности информации (BDU) была зарегистрирована критическая уязвимость, затрагивающая систему управления контейнерами и менеджер виртуальных машин Incus. Проблема получила идентификатор BDU:2026-07327, а также международный номер CVE-2026-33897. Она оказалась связана с ошибкой в механизме создания шаблонов, что потенциально позволяет удалённому злоумышленнику выполнить произвольный код на целевой системе.
Детали уязвимости
Речь идёт об уязвимости класса CWE-1336, то есть неправильной нейтрализации специальных элементов, используемых в механизме шаблонов. Проще говоря, разработчики инструмента виртуализации не предусмотрели фильтрацию вредоносных данных, которые могут быть вставлены в шаблон. При эксплуатации этой бреши атакующий получает возможность внедрить собственные команды и выполнить их на сервере.
Уровень опасности оценён как критический. По стандарту CVSS 3.1, который является общепринятой системой оценки критичности уязвимостей, базовая оценка составляет рекордные 9,9 балла из десяти возможных. Это означает, что риск эксплуатации чрезвычайно высок, а последствия могут быть самыми серьёзными - от полной компрометации системы до утечки конфиденциальных данных.
Уязвимость затрагивает несколько популярных операционных систем. В зоне риска оказались Debian GNU/Linux двенадцатой и тринадцатой версий, а также российская операционная система РЕД ОС версии 8.0. Само программное обеспечение Incus уязвимо во всех версиях вплоть до 6.23.0 включительно. Таким образом, под ударом находятся как международные, так и отечественные серверные инфраструктуры.
Что важно понимать, Incus - это относительно молодой, но активно развивающийся инструмент для работы с контейнерами и виртуальными машинами. Он позиционируется как форк популярного проекта LXD, который в своё время отошёл от сообщества в сторону коммерческой разработки. Incus, напротив, остаётся полностью открытым и управляется сообществом. Именно эта популярность среди энтузиастов и небольших компаний делает уязвимость особенно опасной - многие администраторы могли не успеть обновить систему.
Способ эксплуатации классифицируется как инъекция. Это типичный сценарий внедрения вредоносного кода через поля ввода или параметры, которые подставляются в шаблон. При этом атакующему не требуется иметь права администратора. Согласно вектору уязвимости, нарушителю достаточно обладать ограниченным доступом, а сетевой вектор атаки позволяет действовать удалённо. При этом сложность атаки оценивается как низкая, то есть для эксплуатации не требуется специальных навыков или сложного оборудования.
Последствия успешной эксплуатации трудно переоценить. Выполнение произвольного кода на сервере с контейнерами или виртуальными машинами означает, что злоумышленник может получить полный контроль над гипервизором. Из этой точки он может прослушивать трафик между виртуальными машинами, извлекать данные из изолированных сред или, напротив, запускать атаки на соседние системы. В корпоративном сегменте такой инцидент способен парализовать работу целого дата-центра.
Наличие эксплойта на момент публикации данных уточняется. Это тревожный сигнал. Если вредоносный код уже существует в открытом доступе или распространяется в закрытых сообществах, количество атак может резко возрасти в ближайшие дни. Специалистам по информационной безопасности стоит действовать на упреждение.
Хорошая новость заключается в том, что уязвимость уже подтверждена производителем и устранена. Разработчики Incus выпустили патч, который исправляет ошибку в механизме шаблонов. Соответствующий коммит опубликован в официальном репозитории проекта на GitHub. Пользователям Debian GNU/Linux и РЕД ОС также доступны обновления безопасности. Ссылки на них приведены в уведомлениях производителей.
Таким образом, меры по устранению сводятся к одному обязательному действию - обновлению программного обеспечения до актуальных версий. Для тех, кто использует Incus версии ниже 6.23.0, необходимо загрузить новую сборку из репозитория разработчика. Для пользователей Debian рекомендуется проверить наличие обновлений через стандартный менеджер пакетов. Администраторам РЕД ОС следует обратиться к соответствующей странице технической поддержки "Ред Софт".
Что характерно, этот инцидент в очередной раз демонстрирует, насколько критично своевременное обновление даже, казалось бы, узкоспециализированного программного обеспечения. Incus - не самый массовый продукт, но его использование в инфраструктуре несёт значительные риски, если пренебрегать безопасностью. Кроме того, случай подчёркивает важность механизма шаблонов как потенциальной точки атаки. Разработчикам стоит внимательнее относиться к фильтрации входных данных, особенно в тех компонентах, где пользователь может влиять на формирование шаблонов.
Резюмируя, можно сказать, что обнаруженная уязвимость - серьёзный повод для аудита систем виртуализации. Компаниям и частным пользователям, эксплуатирующим Incus на Debian или РЕД ОС, настоятельно рекомендуется установить обновления в ближайшее время. Промедление может стоить безопасности всей инфраструктуры.
Ссылки
- https://bdu.fstec.ru/vul/2026-07327
- https://www.cve.org/CVERecord?id=CVE-2026-33897
- https://github.com/lxc/incus
- https://github.com/lxc/incus/commit/487edf5984fad89b0f762c03a7e211fdd38396fb
- https://github.com/lxc/incus/security/advisories/GHSA-83xr-5xxr-mh92
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-33897
- https://security-tracker.debian.org/tracker/CVE-2026-33897
