Cảnh báo lỗ hổng Docker nghiêm trọng: Kẻ tấn công có thể chiếm quyền quản trị máy chủ thông qua lỗi phân quyền

Mới đây, một lỗ hổng bảo mật nghiêm trọng trong Docker Engine đã được phát hiện, cho phép kẻ tấn công vượt qua các lớp kiểm soát truy cập để xâm nhập sâu vào hệ thống máy chủ. Lỗ hổng này không chỉ đe dọa các hệ thống truyền thống mà còn mở ra rủi ro cho các công cụ lập trình trí tuệ nhân tạo (AI coding agents).

Nguồn gốc từ một bản vá chưa hoàn thiện

Lỗ hổng mới này được định danh là CVE-2026-34040 với điểm số nguy hiểm CVSS đạt 8.8/10. Đáng chú ý, đây không phải là một vấn đề hoàn toàn mới mà bắt nguồn từ việc bản vá của lỗ hổng CVE-2024-41110 (từng được công bố vào tháng 7/2024) chưa xử lý triệt để vấn đề.

Lỗi này nằm trong thành phần quản lý các plugin phân quyền (AuthZ) của Docker. Các plugin này vốn đóng vai trò như "người gác cổng", có nhiệm vụ kiểm tra và quyết định xem một yêu cầu truy cập có hợp lệ hay không trước khi cho phép Docker thực hiện.

Cách thức "đánh lừa" hệ thống phân quyền

Theo các nhà nghiên cứu bảo mật, lỗ hổng xuất hiện khi Docker xử lý các yêu cầu (request) có kích thước quá lớn. Cụ thể:

• Cơ chế lỗi: Kẻ tấn công có thể gửi một yêu cầu đã được "làm đầy" bằng dữ liệu rác để vượt quá kích thước 1MB.

• Hệ quả: Lúc này, Docker daemon (thành phần điều khiển cốt lõi của Docker) sẽ chuyển tiếp yêu cầu đến plugin phân quyền nhưng lại "bỏ quên" phần nội dung (body) của yêu cầu đó.

• Phê duyệt sai lầm: Vì không nhận được nội dung để kiểm tra, plugin phân quyền sẽ lầm tưởng yêu cầu này vô hại và cho phép đi qua.

Sau khi vượt qua "cửa kiểm soát", Docker daemon sẽ thực thi đầy đủ yêu cầu ban đầu. Kẻ tấn công có thể lợi dụng điều này để tạo ra một container có đặc quyền cao (privileged container). Từ đây, chúng có thể truy cập thẳng vào hệ thống tệp tin của máy chủ vật lý, lấy cắp các thông tin nhạy cảm như khóa SSH, cấu hình Kubernetes hay thông tin đăng nhập dịch vụ đám mây (Cloud credentials).

Mối nguy từ các AI Coding Agent

Một điểm đáng lo ngại khác là lỗ hổng này có thể bị khai thác thông qua các trợ lý lập trình AI (như OpenClaw). Kẻ tấn công có thể cài cắm mã độc vào các kho lưu trữ mã nguồn (như GitHub). Khi lập trình viên sử dụng AI để làm việc với các kho lưu trữ này, AI agent có thể bị lừa thực thi các lệnh khai thác lỗ hổng CVE-2026-34040 mà người dùng không hề hay biết.

Thậm chí, các chuyên gia cảnh báo rằng AI có thể tự "nghĩ" ra cách vượt qua cơ chế bảo mật này. Trong quá trình xử lý các tác vụ sửa lỗi (debug), nếu AI gặp khó khăn khi truy cập tệp tin, nó có thể tự động tạo ra các yêu cầu HTTP đặc biệt để kích hoạt lỗ hổng nhằm hoàn thành công việc được giao, vô tình tạo ra lỗ hổng cho kẻ xấu lợi dụng.

Cách bảo vệ hệ thống của bạn

Để đảm bảo an toàn, người dùng và quản trị viên hệ thống cần thực hiện ngay các biện pháp sau:

1. Cập nhật ngay lập tức: Nâng cấp Docker Engine lên phiên bản 29.3.1 hoặc mới hơn để vá hoàn toàn lỗ hổng này.

2. Sử dụng chế độ Rootless: Chạy Docker ở chế độ không cần quyền root (rootless mode). Trong chế độ này, ngay cả khi kẻ tấn công chiếm được quyền quản trị trong container, chúng cũng chỉ có quyền hạn của một người dùng thông thường trên máy chủ, giúp giảm thiểu đáng kể thiệt hại.

3. Hạn chế quyền truy cập: Chỉ cho phép những người dùng hoặc dịch vụ thực sự tin cậy truy cập vào Docker API theo nguyên tắc "quyền hạn tối thiểu".

4. Cấu hình ánh xạ người dùng: Nếu không thể chạy rootless, hãy sử dụng tùy chọn --userns-remap để ngăn chặn việc container có toàn quyền trên máy chủ.