Lỗ hổng CVE Docker Engine nghiêm trọng: Nguy cơ xâm nhập mạng

Một lỗ hổng CVE nghiêm trọng mới được phát hiện trong Docker Engine có thể cho phép kẻ tấn công vượt qua các plugin ủy quyền và tiềm ẩn nguy cơ giành quyền truy cập trái phép vào hệ thống máy chủ cơ bản.

CVE-2026-34040, được phân loại là nghiêm trọng cao, xuất phát từ một bản vá không hoàn chỉnh cho một lỗ hổng đã biết trước đó. Điều này khiến các cấu hình Docker cụ thể vẫn bị phơi nhiễm trước các cuộc tấn công khai thác.

CVE-2026-34040: Lỗ hổng Docker Engine Nghiêm trọng

Trong môi trường doanh nghiệp, các quản trị viên thường sử dụng plugin ủy quyền Docker (AuthZ) để kiểm soát quyền truy cập vào API Docker. Các plugin này hoạt động như cổng gác, kiểm tra phần thân của các yêu cầu API đến để xác định xem người dùng có quyền thực hiện các hành động cụ thể hay không.

Các nhà nghiên cứu bảo mật đã phát hiện ra rằng kẻ tấn công có thể bỏ qua các kiểm tra này bằng cách sử dụng một yêu cầu API được tạo đặc biệt với một phần thân có kích thước lớn (oversized body).

Khi yêu cầu quá khổ này được xử lý, daemon Docker sẽ chuyển tiếp yêu cầu đến plugin AuthZ nhưng loại bỏ hoàn toàn phần thân.

Nếu không có phần thân để kiểm tra, plugin ủy quyền sẽ không thể phát hiện payload độc hại. Nó chấp thuận một yêu cầu mà đáng lẽ phải từ chối, dẫn đến xâm nhập mạng trái phép.

Phân tích Kỹ thuật và Mức độ Nghiêm trọng

Lỗ hổng này được xác định là một bản sửa lỗi không hoàn chỉnh cho CVE-2024-41110, một lỗ hổng cũ hơn cũng có hành vi bỏ qua ủy quyền tương tự.

CVE-2026-34040 được phân loại là “High” với hồ sơ CVSS v3.1 chỉ ra rằng kẻ tấn công chỉ cần truy cập cục bộ (local access) và đặc quyền thấp (low privileges) để thực hiện khai thác.

• Complexity: Thấp (low complexity).
• User Interaction: Không yêu cầu tương tác người dùng (no user interaction).
• Impact: Khai thác có thể thoát khỏi vùng chứa (escape containers) và chiếm quyền kiểm soát hệ thống máy chủ (compromise the host system).

May mắn thay, khả năng cơ bản của việc khai thác này xảy ra trong thực tế vẫn ở mức thấp.

Cơ chế Tấn công và Phạm vi Ảnh hưởng

Cơ chế tấn công chính xoay quanh việc thao túng cách Docker daemon xử lý các yêu cầu API có phần thân lớn trước khi chuyển tiếp chúng đến các plugin ủy quyền.

Kẻ tấn công gửi một yêu cầu API đã được tạo sẵn, với phần thân chứa payload độc hại nhưng được làm cho lớn hơn mức bình thường. Docker daemon, trong quá trình xử lý ban đầu, sẽ bỏ qua phần thân này khi gửi đến AuthZ plugin.

Plugin AuthZ, do không nhận được phần thân yêu cầu, không thể thực hiện kiểm tra ủy quyền dựa trên nội dung. Do đó, nó mặc định chấp thuận yêu cầu, cho phép kẻ tấn công thực hiện các hành động trái phép.

Tác động của lỗ hổng CVE này chỉ giới hạn nghiêm ngặt trong các môi trường phụ thuộc vào plugin ủy quyền để kiểm tra phần thân yêu cầu (introspect request bodies) cho các quyết định kiểm soát truy cập.

Nếu cơ sở hạ tầng của bạn không sử dụng plugin AuthZ để kiểm tra phần thân yêu cầu, các phiên bản Docker của bạn hoàn toàn không bị ảnh hưởng bởi lỗ hổng Docker Engine này.

Khuyến nghị Bảo vệ và Cập nhật Bản Vá Bảo mật

Nhóm phát triển Docker đã giải quyết lỗ hổng CVE-2026-34040 với việc phát hành Docker Engine version 29.3.1.

Các quản trị viên hệ thống và đội ngũ bảo mật được khuyến khích mạnh mẽ nâng cấp lên phiên bản đã vá này ngay lập tức để bảo vệ cơ sở hạ tầng của họ khỏi nguy cơ xâm nhập mạng.

Để biết thêm chi tiết về bản vá và khuyến nghị, có thể tham khảo thông báo bảo mật chính thức trên GitHub: GHSA-x744-4wpc-v9h2.

Đối với các tổ chức chưa thể triển khai cập nhật ngay lập tức, có các biện pháp khắc phục hiệu quả để giảm thiểu rủi ro từ lỗ hổng CVE này. Các biện pháp này cần được đánh giá và triển khai cẩn thận để duy trì an toàn hệ thống cho đến khi bản vá bảo mật được áp dụng hoàn toàn.