Критические уязвимости в Traefik: угроза обхода аутентификации для корпоративной инфраструктуры

В Банке данных угроз безопасности информации (BDU) были зарегистрированы две новые критические уязвимости в популярном обратном прокси-сервере Containous Traefik. Эти уязвимости затрагивают механизм ForwardAuth (компонент для проверки подлинности запросов с помощью внешнего сервиса) и представляют серьёзную угрозу для компаний, использующих данный инструмент для маршрутизации трафика и защиты внутренних сервисов.

Детали уязвимостей

Первая уязвимость, получившая идентификатор BDU:2026-06478, а также CVE-2026-39858, связана с обходом аутентификации посредством спуфинга (подмены данных, имитирующей доверенное устройство или пользователя). Вторая, BDU:2026-06479 (CVE-2026-35051), вызвана недостаточной проверкой подлинности данных. Обе проблемы позволяют злоумышленнику, действующему удалённо, получить несанкционированный доступ к защищаемой информации.

Важно понимать, что Traefik - это не просто сетевой сервер. Его широко применяют для развёртывания микросервисной архитектуры, контейнеризированных приложений и в облачных средах. Механизм ForwardAuth используется для делегирования процедуры аутентификации внешним сервисам. Например, компания может настроить Traefik так, чтобы он перенаправлял запросы на внутренний сервер с корпоративной учётной записью. Именно этот механизм и содержит критические ошибки.

Согласно данным из BDU, обе уязвимости подтверждены производителем. Более того, в открытом доступе уже существуют эксплойты. Это означает, что злоумышленники могут воспользоваться готовыми инструментами и не обязаны разрабатывать их самостоятельно. Уровень опасности был оценён как критический. Базовая оценка по шкале CVSS 3.1 составила максимальные 10 баллов.

Давайте разберёмся, как именно работает атака. В случае CVE-2026-39858 нарушитель может отправить специально сформированный запрос, который обманывает механизм ForwardAuth. Система ошибочно принимает такой запрос за легитимный, хотя у злоумышленника нет действительных учётных данных. Для второй уязвимости описан более сложный сценарий: атакующему необходимо подменить данные при взаимодействии с сервером. В обоих случаях конечный результат - доступ к данным, который должен быть ограничен.

Какие версии оказались под ударом? Список включает сразу несколько веток продукта. Уязвимыми признаны все версии Traefik до 2.11.43, до 3.6.14, а также предрелизная версия до 3.7.0-rc.2. Это довольно широкий охват, ведь многие компании используют именно стабильные релизы второй и третьей линейки.

Последствия эксплуатации этих уязвимостей могут быть серьёзными. Злоумышленник, получивший доступ к внутренним ресурсам компании через прокси-сервер, способен похитить конфиденциальные данные. К ним относятся персональные сведения клиентов, финансовая отчётность, коммерческая тайна или техническая документация. В корпоративной инфраструктуре Traefik часто выступает единой точкой входа для множества сервисов. Поэтому одна успешная атака может скомпрометировать сразу несколько внутренних систем.

Важно отметить, что уязвимости относятся к разным классам. Первая, BDU:2026-06478, квалифицирована как уязвимость кода. Это означает, что ошибка была допущена непосредственно при написании программного модуля. Вторая, BDU:2026-06479, отнесена к уязвимостям архитектуры. Такие проблемы сложнее выявить на этапе тестирования, поскольку они коренятся в принципах построения системы. Обе ситуации, тем не менее, требуют немедленного вмешательства.

Производитель уже выпустил необходимые исправления. Разработчики команды Containous оперативно подготовили релизы с устранением уязвимостей. Пользователям рекомендуется обновить Traefik до версий 2.11.43, 3.6.14 или 3.7.0-rc.2 соответственно. Ссылки на обновления доступны в официальном репозитории проекта на платформе GitHub. Там же опубликованы подробные рекомендации по безопасности с описанием технических деталей.

Для компаний, которые не могут немедленно обновить систему, стоит рассмотреть временные меры. К примеру, можно отключить или ограничить использование модуля ForwardAuth, если это позволяет архитектура. Однако такой подход не является полноценной защитой, поэтому затягивать с установкой патчей не следует.

В заключение стоит подчеркнуть, что данный инцидент лишний раз напоминает о важности своевременного обновления инфраструктурного программного обеспечения. Даже такие надёжные инструменты, как Traefik, могут содержать критические ошибки. А поскольку эксплойты уже опубликованы, атакующие непременно воспользуются этим знанием. Поэтому каждой организации, использующей Traefik в своей сетевой инфраструктуре, следует незамедлительно проверить версии установленного ПО и установить обновления. Промедление в данном случае грозит прямой утечкой данных.