Несмотря на широко обсуждаемый инцидент с нарушением цепочки поставок, выявленный ранее бэкдор в утилитах XZ Utils, обозначенный как CVE-2024-3094, продолжает присутствовать в публичных образах Debian на платформе Docker Hub. Исследовательская группа из компании Binarly установила наличие как минимум двенадцати официально распространяемых образов Debian, созданных в марте 2024 года, которые всё ещё содержат этот опасный эксплойт.
Особенность найденной проблемы заключается в том, что скрытый в файле библиотеки liblzma.so бэкдор позволяет атакующему, обладающему специальным закрытым ключом, обойти механизм авторизации SSH и дистанционно запускать произвольные команды на заражённой системе. Более того, угроза расширилась за счёт распространения уязвимости среди других решений, основанных на этих инфицированных образах – всего было обнаружено свыше тридцати пяти различных образов Docker, несущих скрытую угрозу.
Однако разработчики Debian приняли решение оставить потенциально опасные образы доступными публично, аргументируя это тем, что они представляют собой исторические архивы и считают риск реальных атак крайне низким. По мнению разработчиков, реальная эксплуатация подобного типа угрозы возможна лишь при соблюдении ряда редких условий:
✅ Запуск службы systemd в качестве основного процесса (PID 1) внутри контейнера.
✅ Работа SSH-демона (sshd) непосредственно внутри самого контейнера.
✅ Специальная ручная установка конкретного образа с известным старым тегом (например, триксий-20240311).
В современных DevOps-практиках обычно используются плавающие теги вроде debian:trixie, автоматически обновляющиеся до последней версии сборки, или жестко зафиксированные стабильные релизы (debian:12.5). При таком подходе вероятность случайного использования известного поврежденного образа существенно снижается.
Тем не менее эксперты подчёркивают, что наличие хотя бы минимальной возможности реализации угроз представляет реальную опасность. Современные системы разработки настолько сложны и многогранны, что возникновение ситуации, когда совпадают сразу несколько «нестандартных» факторов, вполне вероятно. Это значит, что сохранение таких уязвимых образов повышает общий уровень рисков и снижает безопасность экосистемы.
В итоге специалисты рекомендуют полностью удалить старые и небезопасные образы из публичной доступности, чтобы исключить любые возможные сценарии эксплуатации бэкдоров.