ThaiCERT ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ และพบรายงานเกี่ยวกับช่องโหว่ใน Docker ซึ่งเป็นแพลตฟอร์มสำหรับสร้างและจัดการ container สำหรับพัฒนาและรันแอปพลิเคชัน โดยช่องโหว่นี้มีความรุนแรงระดับ High ซึ่งเป็นช่องโหว่ประเภท Authorization Bypass ที่อาจทำให้ผู้โจมตีสามารถข้ามตรวจสอบสิทธิ์ และนำไปสู่การเข้าควบคุมระบบ Host ได้
1. รายละเอียดช่องโหว่
1.1 ช่องโหว่หมายเลข CVE-2026-34040 ( CVSS v3.1: 8.8 ) เป็นช่องโหว่ประเภท Authorization Bypass โดยเกิดจาก Docker daemon ไม่ส่งข้อมูล request body ไปให้ Authorization Plugin (AuthZ) ตรวจสอบในบางกรณี เช่น เมื่อมีการส่งคำขอที่มีขนาดใหญ่ผิดปกติ ส่งผลให้กลไกตรวจสอบสิทธิ์ไม่สามารถทำงานได้อย่างถูกต้อง และผู้โจมตีสามารถข้ามข้อจำกัดด้านสิทธิ์ได้
1.2 ลักษณะการโจมตี:
• ผู้โจมตีส่ง HTTP request ที่มีขนาดใหญ่ผิดปกติ (oversized request)
• Authorization Plugin ไม่สามารถตรวจสอบข้อมูล request ได้
• ผู้โจมตีสามารถสร้าง container หรือปรับแต่งการทำงานที่มีสิทธิ์สูงได้
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
2.1 Docker เวอร์ชันก่อนหน้า 29.3.1
2.2 การใช้งาน Docker ที่มีการเปิดใช้ Authorization Plugin (AuthZ)
3. ผลกระทบ
3.1 ผู้โจมตีสามารถข้ามการตรวจสอบสิทธิ์ของ Docker ได้
3.2 สามารถสร้าง container ที่มีสิทธิ์สูง (Privileged Container)
3.3 อาจเข้าถึงหรือควบคุมระบบ Host ได้
3.4 เสี่ยงต่อการรั่วไหลของข้อมูลและการยกระดับสิทธิ์ (Privilege Escalation)
4. แนวทางการป้องกันและแก้ไข
4.1 อัปเดต Docker เป็นเวอร์ชัน 29.3.1 หรือใหม่กว่า
4.2 ตรวจสอบและจำกัดการใช้งาน Authorization Plugin ให้เหมาะสม
4.3 จำกัดการเข้าถึง Docker daemon ไม่ให้เปิดสู่สาธารณะ
4.4 ใช้ firewall หรือ network policy เพื่อควบคุมการเข้าถึง
4.5 ตรวจสอบสิทธิ์ของ container และหลีกเลี่ยงการใช้งาน privileged container โดยไม่จำเป็น
5. มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้ทันที)
5.1 จำกัดการเข้าถึง Docker daemon เฉพาะเครือข่ายภายใน
5.2 ตรวจสอบและจำกัดสิทธิ์ของผู้ใช้งานในระบบ
5.3 เฝ้าระวังการใช้งาน container ที่มีสิทธิ์สูง
แหล่งอ้างอิง