В Банке данных угроз безопасности информации (BDU) зарегистрирована опасная уязвимость, получившая идентификатор BDU:2026-07208 (CVE-2026-28384). Проблема затронула систему управления контейнерами LXD (расширение для LXC, позволяющее управлять изолированными средами приложений). Уязвимости подвержены не только популярные дистрибутивы на основе Debian, но и российская операционная система РЕД ОС. Событие уже привлекло внимание специалистов по информационной безопасности, поскольку для эксплуатации создан и опубликован в открытом доступе эксплойт. Уровень опасности оценивается как критический - 9,9 балла по шкале CVSS 3.1.
Детали уязвимости
Суть проблемы кроется в типе ошибки, известном как "непринятие мер по нейтрализации специальных элементов" (CWE-78). Иными словами, LXD некорректно обрабатывает входящие запросы, содержащие системные команды. Злоумышленник, имеющий удалённый доступ к серверу с минимальными правами (например, обычный пользователь внутри контейнера или гость в кластере), может отправить специально сформированный HTTP-запрос. При обработке этого запроса система вставляет его содержимое в команду операционной системы без должной фильтрации. Таким образом, атакующий способен выполнить произвольные команды с правами пользователя, под которым работает демон LXD (обычно это root). Механизм атаки классифицируется как манипулирование структурами данных, что указывает на использование нестандартных полей или параметров протокола для внедрения вредоносного кода.
Под удар попадают все версии LXD от 4.12 до 6.7. В списке уязвимых продуктов указаны Debian GNU/Linux версий 12 и 13, а также РЕД ОС версий 7.3 и 8.0 (продукт зарегистрирован в едином реестре российских программ под номером 3751). Разработчик LXD, компания Canonical Ltd., уже выпустила исправления. В официальном уведомлении на GitHub сообщается, что уязвимость устранена в более новых версиях, а также опубликованы коммиты, закрывающие брешь. Для Debian обновление доступно через стандартный механизм безопасности. Пользователям РЕД ОС рекомендуется обратиться к странице поддержки производителя.
Последствия успешной атаки могут быть катастрофическими для любой инфраструктуры, использующей контейнерную виртуализацию. Получив контроль над сервером, злоумышленник может не только перехватить данные внутри контейнеров, но и получить полный доступ к хост-системе. Это ведёт к компрометации всей платформы, краже конфиденциальной информации, внедрению дополнительных вредоносных модулей, созданию ботнетов или использованию ресурсов для майнинга криптовалют. Особую опасность представляет то, что вектор атаки классифицируется как удалённый (AV:N), а сложность эксплуатации низкая (AC:L). Значит, для проведения атаки не требуется физического присутствия или сложных манипуляций. Достаточно лишь одного сетевого запроса к уязвимому сервису.
Специалисты настоятельно рекомендуют немедленно обновить LXD до последней стабильной версии. Для дистрибутивов, основанных на Debian, следует выполнить стандартное обновление пакетов через менеджер apt. Пользователям РЕД ОС стоит дождаться официальных исправлений от вендора или применить патч из репозитория Canonical - при условии, что это не нарушит требования сертификации. Также важно проверить, не был ли скомпрометирован сервер до установки обновления. Для этого стоит проанализировать системные журналы на предмет подозрительных запросов, особенно тех, что содержат нестандартные символы или команды в теле HTTP (например, подстановки вроде "$(...)" или "" "..." "").
В целом данный инцидент лишний раз напоминает, что даже зрелые проекты с открытым исходным кодом не застрахованы от ошибок, ведущих к удалённому выполнению кода. Контейнерные технологии, которые считаются более безопасными по сравнению с традиционными гипервизорами, могут содержать критические бреши. Поэтому администраторам и специалистам по ИБ следует уделять особое внимание своевременному обновлению компонентов, отвечающих за изоляцию сред. В данном случае речь идёт о ядре всей контейнерной инфраструктуры, и промедление с исправлением грозит масштабными утечками данных и потерей контроля над системами.
Ссылки
- https://bdu.fstec.ru/vul/2026-07208
- https://www.cve.org/CVERecord?id=CVE-2026-28384
- https://github.com/canonical/lxd/security/advisories/GHSA-4rmf-rcp8-2r9g
- https://github.com/canonical/lxd/commit/7046979645c2ce1b63b2f9e60ddf6cbc4c4b78f9
- https://github.com/canonical/lxd/commit/b7b411caf5c4971bfe2386c72128f44d7e2aaf4f
- https://github.com/canonical/lxd/commit/043696a13171ace7dd4c2b32d34ce039ab629052
- https://discourse.ubuntu.com/t/lxd-authenticated-remote-code-execution-fixes-available/78365
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-28384
- https://security-tracker.debian.org/tracker/CVE-2026-28384
