Критическая уязвимость в популярном реестре контейнеров Harbor, отслеживаемая как CVE-2026-4404, создаёт серьёзную угрозу для организаций, использующих облачную инфраструктуру. Проблема коренится в жёстко заданных (hardcoded) учётных данных администратора по умолчанию, которые остаются активными, если их вручную не изменит администратор. Учитывая центральную роль Harbor в хранении и управлении образами контейнеров, эта ошибка аутентификации предоставляет удалённым злоумышленникам прямой путь для компрометации всей среды непрерывной интеграции и поставки (CI/CD), что может привести к масштабным атакам на цепочку поставок программного обеспечения.
Детали уязвимости CVE-2026-4404
Harbor функционирует как реестр контейнеров с открытым исходным кодом, соответствующий стандарту OCI (Open Container Initiative), и предназначен для безопасного хранения, подписания и распространения образов. Именно его ключевая роль в облачно-нативных развёртываниях делает данную уязвимость столь опасной. В ходе первоначальной настройки Harbor развёртывается с учётной записью администратора, пароль которой является общеизвестным и документированным. Программное обеспечение полагается на файл конфигурации, который назначает эти данные по умолчанию, если оператор явно не укажет собственные значения. Основной провал в безопасности заключается в том, что система никогда не принуждает к сбросу пароля при первом входе или на этапе развёртывания. Как следствие, экземпляры, развёрнутые без немедленного ручного вмешательства, остаются в высокой степени уязвимыми.
По данным экспертов по кибербезопасности, удалённые угрозовые акторы могут сканировать сеть в поисках открытых экземпляров Harbor и беспрепятственно проходить аутентификацию, используя эти документированные значения по умолчанию. Успешно аутентифицировавшись с правами администратора, злоумышленник получает полный контроль над реестром и всеми связанными с ним артефактами. Такие привилегии позволяют злоумышленникам перезаписывать существующие образы контейнеров или внедрять в среду разработки совершенно новые вредоносные артефакты. Далее, подчинённые системы, которые загружают эти скомпрометированные образы, немедленно подвергаются риску. Это открывает путь для атак на цепочку поставок и удалённого выполнения кода в связанных кластерах Kubernetes.
Кроме того, злоумышленники могут легко похищать конфиденциальные проприетарные образы, копируя артефакты напрямую или настраивая автоматическую репликацию на внешние контролируемые ими реестры. Административный доступ также позволяет угрозовым акторам обеспечить глубокое закрепление в скомпрометированной сети. Они могут создавать новые пользовательские профили, настраивать скрытые сервисные учётные записи (так называемые robot accounts) и выпускать долгосрочные API-токены для гарантированного доступа в будущем. Администраторам будет крайне сложно обнаружить или остановить такое вторжение, поскольку злоумышленники получают возможность демонтировать средства защиты безопасности. Они могут обходить сканирование на уязвимости, отключать проверку цифровых подписей и перезаписывать ограничения на основе ролей, чтобы скрыть свою деятельность.
Для устранения непосредственной угрозы командам безопасности необходимо немедленно войти в веб-интерфейсы своих развёртываний Harbor и изменить пароль администратора по умолчанию на сложный и уникальный. Операторы, планирующие новые внедрения, могут решить проблему навсегда, назначив уникальный надёжный пароль непосредственно в параметрах конфигурационного файла до начала установки. Разработчики Harbor уже работают над устранением коренной причины уязвимости, готовя постоянное обновление для программного обеспечения. Предстоящий патч должен полностью устранить жёстко заданный пароль, либо путём рандомизации учётных данных во время установки, либо за счёт введения обязательного шага создания пароля при первом запуске. Между тем, текущая ситуация служит суровым напоминанием о критической важности базовой гигиены безопасности, особенно для компонентов, лежащих в основе современных DevOps-процессов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-4404
- https://kb.cert.org/vuls/id/577436
- https://github.com/goharbor/harbor/issues/1937
- https://github.com/goharbor/harbor/pull/22751
