Docker

🔍 Contexte Publié le 7 avril 2026 par Vladimir Tokarev (Cyera Research Labs), cet article présente la découverte et l’analyse technique de CVE-2026-34040 (CVSS 8.8 High), une vulnérabilité d’autorisation dans Docker Engine affectant les versions antérieures à 29.3.1. 🐛 Description de la vulnérabilité La vulnérabilité réside dans le middleware AuthZ de Docker Engine. Lorsqu’un corps de requête HTTP dépasse 1 Mo (maxBodySize = 1 048 576 octets), le middleware abandonne silencieusement le corps avant de le transmettre au plugin d’autorisation. Le daemon Docker, lui, traite la requête complète normalement. ...

🎯 Contexte Source : BleepingComputer — Article publié le 26 mars 2026. Cet article rapporte la continuation d’une attaque supply chain ciblant Aqua Security, entreprise spécialisée dans la sécurité cloud-native et éditrice de l’outil open source Trivy. 🔍 Déroulement de l’attaque Le groupe TeamPCP a poursuivi ses opérations malveillantes contre Aqua Security en : Poussant des images Docker malveillantes dans les dépôts de la société Compromettant l’organisation GitHub d’Aqua Security Altérant des dizaines de dépôts au sein de cette organisation 🏴 Acteurs et cibles L’acteur de menace identifié est TeamPCP, déjà responsable de l’attaque initiale sur Trivy. La cible principale est Aqua Security et son écosystème de dépôts publics, ce qui expose potentiellement les utilisateurs en aval de la chaîne d’approvisionnement logicielle. ...

Source et contexte: Prépublication (UK AI Security Institute / University of Oxford), datée du 4 mars 2026. L’article introduit SANDBOXESCAPEBENCH, un benchmark et une méthodologie d’évaluation « sandbox-in-sandbox » pour mesurer si des agents LLM peuvent sortir d’un conteneur et lire un fichier /flag.txt sur l’hôte. • Le benchmark couvre 18 scénarios d’orchestration (K8s), de runtime (Docker/OCI) et de noyau Linux, avec une architecture d’évaluation par CTF et un double isolement (VM + conteneur) afin d’éviter tout risque pour l’infrastructure. Les auteurs publient les 18 niveaux et un provider de sandbox VM pour Inspect (Vagrant/EC2), avec un jeu de test privé. ...

Cette publication présente Neko, un navigateur virtuel auto‑hébergé diffusant un environnement Linux via WebRTC, axé sur la sécurité, la confidentialité et la collaboration. • Neko fournit un navigateur/desktop virtuel tournant dans Docker (ou sur l’hôte), accessible depuis n’importe où, avec multi‑accès simultané, contrôle partagé, audio/vidéo synchronisés et un flux WebRTC fluide. Il peut exécuter un navigateur, des applications Linux (ex. VLC) ou un desktop complet (XFCE, KDE). 🐱 • Cas d’usage principaux: watch parties 🎬, présentations interactives (contrôle par d’autres), collaboration (co‑browsing, debug), support/enseignement, et intégration dans des apps web (alternative open source à Hyperbeam API). Des rooms peuvent être gérées via « neko-rooms ». ...

Selon l’annonce du projet EvilNeko, l’outil vise à opérationnaliser les techniques de Browser‑in‑the‑Browser (BITB) pour les équipes rouges et aider les équipes bleues à les détecter. EvilNeko est présenté comme un projet permettant de passer à l’échelle l’infrastructure d’attaques BITB au-delà d’un seul utilisateur/session, en s’inspirant des travaux de Mr. d0x et des idées du projet EvilNoVNC. L’objectif est de fournir un moyen réaliste d’émuler ces techniques pour des tests autorisés et de contribuer à la détection côté défense. 🐱‍💻 ...

Selon BleepingComputer, trois vulnérabilités nouvellement divulguées affectent le runtime de conteneurs runC, utilisé par Docker et Kubernetes. Trois failles critiques dans runC (Docker / Kubernetes) permettent d’échapper au conteneur Des vulnérabilités dévoilées cette semaine dans runC — le runtime de conteneurs de référence OCI utilisé par Docker et Kubernetes — peuvent permettre à un attaquant d’obtenir des accès en écriture au système hôte avec les privilèges root si elles sont exploitées. Les CVE sont CVE-2025-31133, CVE-2025-52565 et CVE-2025-52881 ; des correctifs sont inclus dans runC versions 1.2.8, 1.3.3, 1.4.0-rc.3 et ultérieures (CVE-2025-31133 & CVE-2025-52881 affectent toutes les versions ; CVE-2025-52565 impacte runC 1.0.0-rc3 et suivantes). ...

Source: Wiz (blog) — Wiz Research annonce l’open source de HoneyBee, un outil qui automatise la création de conteneurs et Docker Compose intentionnellement vulnérables pour reproduire des configurations cloud courantes et mal sécurisées. HoneyBee génère des Dockerfiles et manifests Docker Compose pour des applications cloud populaires (bases de données, services de stockage, web apps) en reproduisant des mauvaises configurations typiques comme l’authentification sans mot de passe et des paramètres trop permissifs. Les honeypots ainsi déployés sont isolés mais réalistes et conçus pour être observables 🐝. ...

Source : Darktrace — Analyse d’une campagne émergente baptisée ShadowV2, conçue comme une plateforme DDoS-as-a-service, mêlant outils cloud-native et malware classique. • Le cœur de l’opération repose sur un C2 Python hébergé sur GitHub CodeSpaces, un spreader Python utilisant Docker comme vecteur d’accès initial, et un binaire Go jouant le rôle de RAT avec API REST pour l’enregistrement, le polling et l’exécution de commandes. L’infrastructure expose une spécification OpenAPI via FastAPI/Pydantic et un panneau opérateur complet, illustrant un modèle de DDoS-as-a-service. ...

Source: Darktrace. Les chercheurs détaillent « ShadowV2 », une campagne cybercriminelle qui industrialise le DDoS via une stack moderne (Python/Go/FastAPI) et une utilisation opportuniste d’infrastructures cloud et DevOps. Cette opération démarre par l’exploitation de daemons Docker exposés sur AWS EC2 via un script Python exécuté depuis GitHub CodesSpaces 🐳☁️. Elle déploie un malware containerisé incluant un RAT en Go qui communique en REST avec son C2. Le RAT Go intègre des capacités DDoS avancées : HTTP/2 rapid reset, contournement du mode “Under Attack” de Cloudflare, et floods HTTP à grande échelle 🚀. L’ensemble suggère une plateforme opérationnelle et scalable. ...

L’article publié par Zero Day Initiative détaille une vulnérabilité critique découverte dans Cisco Identity Services Engine (ISE), identifiée comme CVE-2025-20281. Cette faille permet une exécution de code à distance non authentifiée via une désérialisation de données non fiables dans la méthode enableStrongSwanTunnel de la classe DescriptionRegistrationListener. L’analyse révèle que la vulnérabilité initiale a conduit à une injection de commande en tant que root, exploitée par l’attaquant pour obtenir un shell root sur les installations affectées de Cisco ISE, y compris l’évasion d’un conteneur Docker. Cette vulnérabilité est due à une mauvaise gestion de la désérialisation et à l’utilisation incorrecte de la fonction Runtime.getRuntime().exec() de Java. ...