-
09/04/2020
-
117
-
1.224 bài viết
Lỗ hổng nghiêm trọng trong Docker Compose cho phép ghi đè tệp tùy ý
Một lỗ hổng nghiêm trọng vừa được phát hiện trong Docker Compose đang khiến cộng đồng DevOps và bảo mật toàn cầu lo ngại. Lỗi này cho phép kẻ tấn công ghi đè tệp tùy ý trên hệ thống chủ thông qua các gói OCI được chế tạo đặc biệt, thậm chí không cần khởi chạy bất kỳ container nào.
Được định danh là CVE-2025-62725, lỗ hổng có điểm CVSS 8,9, ảnh hưởng đến tất cả các phiên bản Docker Compose trước v2.40.2. Theo các chuyên gia, phạm vi ảnh hưởng của sự cố này trải rộng từ môi trường phát triển cá nhân cho tới các hệ thống CI/CD và hạ tầng đám mây doanh nghiệp, khiến việc cập nhật bản vá trở nên cấp bách.
Vấn đề bắt nguồn từ tính năng mới được Docker Compose giới thiệu gần đây, hỗ trợ OCI-based Compose artifacts, cho phép nhà phát triển tải và sử dụng tệp Compose từ kho lưu trữ từ xa để tăng tính linh hoạt và di động. Tuy nhiên, trong quá trình xử lý các lớp OCI, Docker Compose lại tin tưởng mù quáng vào các thẻ chú thích đi kèm, sử dụng chúng để xác định vị trí ghi tệp xuống ổ đĩa mà không kiểm tra hoặc chuẩn hóa đường dẫn.
Kẻ tấn công có thể tận dụng điểm yếu này bằng cách chèn các chuỗi “path traversal” trong thẻ chú thích, khiến hệ thống ghi tệp ra ngoài thư mục cache được chỉ định. Bằng chứng khai thác (PoC) do nhóm nghiên cứu Imperva trình diễn cho thấy, chỉ với một gói OCI độc hại, kẻ tấn công có thể ghi khóa SSH công khai vào tệp authorized_keys của nạn nhân và từ đó giành quyền truy cập từ xa vào máy chủ.
Đáng lo ngại hơn, việc khai thác không yêu cầu người dùng chạy container. Chỉ cần thực hiện các lệnh tưởng chừng vô hại như docker compose ps hoặc docker compose config trong thư mục chứa tệp docker-compose.yaml độc hại cũng đủ để kích hoạt tấn công. Vì hành vi xảy ra trong lúc Compose “đọc” và tái tạo cấu hình, nạn nhân thường không nhận thấy dấu hiệu bất thường,điều kiện lý tưởng để khai thác âm thầm, lây lan quyền truy cập hoặc chèn backdoor trước khi có ai đó phát hiện.
Docker đã phát hành bản vá Docker Compose v2.40.2, bổ sung cơ chế kiểm tra nghiêm ngặt đối với tất cả đường dẫn được lấy từ thẻ chú thích. Mọi đường dẫn chứa ký tự vượt phạm vi thư mục cache hoặc là đường dẫn tuyệt đối đều sẽ bị từ chối. Các tổ chức và nhà phát triển đang sử dụng Docker Compose được khuyến nghị cập nhật ngay lập tức để tránh nguy cơ bị khai thác và chiếm quyền điều khiển hệ thống.
Được định danh là CVE-2025-62725, lỗ hổng có điểm CVSS 8,9, ảnh hưởng đến tất cả các phiên bản Docker Compose trước v2.40.2. Theo các chuyên gia, phạm vi ảnh hưởng của sự cố này trải rộng từ môi trường phát triển cá nhân cho tới các hệ thống CI/CD và hạ tầng đám mây doanh nghiệp, khiến việc cập nhật bản vá trở nên cấp bách.
Vấn đề bắt nguồn từ tính năng mới được Docker Compose giới thiệu gần đây, hỗ trợ OCI-based Compose artifacts, cho phép nhà phát triển tải và sử dụng tệp Compose từ kho lưu trữ từ xa để tăng tính linh hoạt và di động. Tuy nhiên, trong quá trình xử lý các lớp OCI, Docker Compose lại tin tưởng mù quáng vào các thẻ chú thích đi kèm, sử dụng chúng để xác định vị trí ghi tệp xuống ổ đĩa mà không kiểm tra hoặc chuẩn hóa đường dẫn.
Kẻ tấn công có thể tận dụng điểm yếu này bằng cách chèn các chuỗi “path traversal” trong thẻ chú thích, khiến hệ thống ghi tệp ra ngoài thư mục cache được chỉ định. Bằng chứng khai thác (PoC) do nhóm nghiên cứu Imperva trình diễn cho thấy, chỉ với một gói OCI độc hại, kẻ tấn công có thể ghi khóa SSH công khai vào tệp authorized_keys của nạn nhân và từ đó giành quyền truy cập từ xa vào máy chủ.
Đáng lo ngại hơn, việc khai thác không yêu cầu người dùng chạy container. Chỉ cần thực hiện các lệnh tưởng chừng vô hại như docker compose ps hoặc docker compose config trong thư mục chứa tệp docker-compose.yaml độc hại cũng đủ để kích hoạt tấn công. Vì hành vi xảy ra trong lúc Compose “đọc” và tái tạo cấu hình, nạn nhân thường không nhận thấy dấu hiệu bất thường,điều kiện lý tưởng để khai thác âm thầm, lây lan quyền truy cập hoặc chèn backdoor trước khi có ai đó phát hiện.
Docker đã phát hành bản vá Docker Compose v2.40.2, bổ sung cơ chế kiểm tra nghiêm ngặt đối với tất cả đường dẫn được lấy từ thẻ chú thích. Mọi đường dẫn chứa ký tự vượt phạm vi thư mục cache hoặc là đường dẫn tuyệt đối đều sẽ bị từ chối. Các tổ chức và nhà phát triển đang sử dụng Docker Compose được khuyến nghị cập nhật ngay lập tức để tránh nguy cơ bị khai thác và chiếm quyền điều khiển hệ thống.
Theo Cyber Press