В Банке данных угроз безопасности информации (BDU) зарегистрирована уязвимость BDU:2026-07367 (CVE-2026-33945), затрагивающая систему управления контейнерами и менеджер виртуальных машин Incus. Проблема признана критической - по шкале CVSS версии 3.1 она получила 9,6 балла из десяти. Что ещё тревожнее, разработчики уже подтвердили наличие готового эксплойта в открытом доступе.
Детали уязвимости
Уязвимость класса CWE-22 ("Обход пути") связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Простыми словами: при работе с файловой системой контейнеров или виртуальных машин Incus недостаточно проверяет, куда именно обращается запрос. Если злоумышленник имеет учётную запись с минимальными правами в одном контейнере, он может с помощью специально сформированных путей "выбраться" за пределы своей изолированной среды и получить несанкционированный доступ к защищаемой информации других контейнеров и даже самой хост-системы. Атака выполняется удалённо, при этом не требуется высоких привилегий - достаточно стандартной аутентификации.
Опасность усугубляется тем, что Incus широко используется как в корпоративных ЦОДах, так и в государственных информационных системах. В России уязвимость особенно актуальна, поскольку Incus является базовым компонентом для платформы виртуализации на операционных системах РЕД ОС версий 7.3 и 8.0, которые включены в Единый реестр российских программ. Также под ударом оказались пользователи Debian GNU/Linux 12 и 13 - двух популярных дистрибутивов, которые часто применяются в серверной инфраструктуре.
По данным разработчиков, критический сценарий эксплуатации выглядит следующим образом. Атакующий, имея учётную запись в одном контейнере, может манипулировать ресурсами Incus - например, передавать специально сконструированные запросы на чтение файлов за пределами собственной корневой директории. Из-за неправильной фильтрации путей система не блокирует попытку обратиться к каталогам других изолированных сред. В результате злоумышленник может похитить конфиденциальные данные соседних контейнеров - от баз данных до файлов конфигурации. Учитывая, что балл 9,6 по CVSS означает максимально возможное воздействие на целостность и доступность информации, такая атака способна не только украсть критически важные данные, но и разрушить работу всей платформы виртуализации.
Хорошая новость в том, что уязвимость уже устранена. В проекте Incus выпущена версия 6.23.0, в которой проблема исправлена. Разработчики настоятельно рекомендуют всем администраторам как можно скорее обновить программное обеспечение. Для пользователей РЕД ОС готовят соответствующие патчи - ссылка на страницу с информацией об обновлении уже доступна на портале Ред Софт.
Тем не менее наличие готового эксплойта в сети означает, что злоумышленники уже могут использовать эту уязвимость для атак. Промедление с обновлением грозит серьёзными последствиями - начиная от утечек данных в облачных сервисах и заканчивая полной компрометацией изолированных сред на промышленных объектах. Особенно это критично для российских государственных учреждений и компаний, где РЕД ОС применяется в системах, обрабатывающих персональные данные и государственную тайну.
Специалисты по безопасности также подчёркивают, что Incus не единственный инструмент, подверженный подобным атакам. За последние годы ошибки обхода пути были обнаружены в Docker, Podman и других системах контейнеризации. Однако в данном случае высокая оценка критичности объясняется не столько новизной техники, сколько лёгкостью эксплуатации и широкой распространённостью затронутого ПО. К тому же уязвимость затрагивает не только контейнеры, но и виртуальные машины - менеджер Incus управляет обоими типами изолированных сред.
Как же защититься до установки обновления? Во-первых, стоит ограничить сетевой доступ к API Incus: закройте порты для внешних подключений, оставив доступ только с доверенных сетей. Во-вторых, проверьте, настроена ли строгая аутентификация и многофакторная защита - это затруднит злоумышленнику получение учётной записи даже с низким уровнем прав. Однако самый надёжный шаг - немедленно перейти на Incus 6.23.0.
Важно отметить, что уязвимость подтверждена производителем, а значит, доверять можно только официальному репозиторию и инструкциям от вендора. Не стоит использовать сторонние патчи или советы из непроверенных источников. Параллельно с обновлением рекомендуется провести аудит журналов доступа - не было ли подозрительных попыток обратиться к нестандартным путям. При обнаружении признаков атаки нужно немедленно обратиться в центр реагирования на инциденты.
Подводя итог: инцидент BDU:2026-07367 - яркое напоминание о том, что даже устоявшееся и широко применяемое программное обеспечение может содержать критические ошибки. Отсутствие строгих проверок путей при файловой изоляции превращает удобный инструмент в дверь для злоумышленника. Владельцам инфраструктур на базе Debian и РЕД ОС стоит действовать без промедления.
Ссылки
- https://bdu.fstec.ru/vul/2026-07367
- https://www.cve.org/CVERecord?id=CVE-2026-33945
- https://github.com/lxc/incus/commit/f74199f9983e2ce78f2b78b6d765c6635b229c82
- https://github.com/lxc/incus/security/advisories/GHSA-q4q8-7f2j-9h9f
- https://github.com/lxc/incus
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-33945
