CVE-2026-58455: Kritisk sårbarhed i Dockwatch
Kritisk fejl i Dockwatch lader angribere køre kommandoer på din server uden login – opdater straks.
Hvad er det?
Dockwatch er et webbaseret værktøj til at overvåge og styre Docker-containere (softwarepakker der kører isoleret på en server). En sårbarhed i version 0.6.567 og ældre betyder, at en angriber udefra kan sende særligt udformede forespørgsler til serveren og få den til at udføre vilkårlige kommandoer – uden at skulle logge ind først.
Fejlen skyldes to problemer kombineret: Et ufuldstændigt tjek af om brugeren er logget ind (manglende exit() i koden), og at brugerinput ikke renses inden det sendes videre til serverens kommandolinje via funktionen shell_exec(). Det svarer til en dør der ser låst ud, men ikke er det.
Hvem rammer det?
Sårbarheden rammer dig, hvis din virksomhed bruger Dockwatch i version 0.6.567 eller tidligere til at administrere Docker-containere. Det gælder typisk:
- Udviklingsvirksomheder og IT-afdelinger der drifter egne servere med Docker.
- Hostingudbydere eller managed service providers der anvender Dockwatch til kundemiljøer.
- Enhver organisation hvor Dockwatch-grænsefladen er tilgængelig fra internettet eller et delt netværk.
Er Dockwatch kun tilgængeligt internt og bag stærk adgangskontrol, er risikoen lavere – men ikke elimineret.
Hvad kan ske?
En angriber der udnytter fejlen kan opnå fuld kontrol over den server Dockwatch kører på. Konkret betyder det:
- Fuld serverovertagelse: Angriberen kan køre hvilke som helst kommandoer på operativsystemet.
- Adgang til Docker-socket: Dockwatch monterer typisk Docker-socketfilen, hvilket giver angriberen mulighed for at starte, stoppe og manipulere alle Docker-containere på maskinen – inklusive at bryde ud til selve værtsserveren.
- Datatyveri: Alle filer, databaser og konfigurationer på serveren kan læses og kopieres.
- Ransomware og sabotage: Angriberen kan kryptere data, slette backups eller installere bagdøre til fremtidig adgang.
- Angreb på andre systemer: Serveren kan bruges som springbræt til resten af dit netværk.
Hvor alvorligt er det?
Denne sårbarhed har fået den højest mulige CVSS-score på 9.8 ud af 10 (Kritisk). Det afspejler følgende:
- Netværksangreb uden login: Angrebet kan gennemføres fra internettet uden brugernavn eller adgangskode.
- Lav kompleksitet: Der kræves ingen særlige forudgående betingelser eller avanceret viden for at udnytte fejlen.
- Fuldt kompromitteret fortrolighed, integritet og tilgængelighed: Alle tre sikkerhedsprincipper rammes maksimalt.
Kombinationen af ingen autentificeringskrav og fuld serveradgang gør dette til en af de mest alvorlige sårbarhedstyper, der findes.
Hvad gør jeg nu?
Handl hurtigt. Her er hvad du skal gøre nu:
- Kortlæg eksponeringen: Find ud af om I bruger Dockwatch, og om det er tilgængeligt fra internettet eller kun internt. Spørg din IT-ansvarlige eller driftsleverandør.
- Afskær adgang midlertidigt: Blokér adgang til Dockwatch-grænsefladen fra internettet straks – fx via firewall-regler – indtil en opdatering er installeret.
- Opdatér Dockwatch: Installér den nyeste version der retter sårbarheden, så snart den er tilgængelig fra udvikleren. Følg Dockwatch’s officielle kanaler (GitHub) for opdateringer.
- Tjek for kompromittering: Gennemgå serverlogfiler for usædvanlig aktivitet, ukendte processer eller mistænkelige netværksforbindelser. Overvej professionel hjælp til dette trin.
- Begræns Docker-socket adgang: Overvej om Dockwatch reelt har brug for fuld adgang til Docker-socketfilen, og om adgangen kan begrænses.
- Styrk adgangskontrol fremadrettet: Placer administrative værktøjer som Dockwatch bag VPN (krypteret netværkstunnel) eller anden stærk adgangskontrol, så de aldrig er direkte tilgængelige fra internettet.
Handl inden for 24 timer
Auroas klare anbefaling er at blokere al ekstern adgang til Dockwatch øjeblikkeligt og behandle dette som en akut hændelse. Selv hvis I ikke er sikre på om I bruger Dockwatch, bør I verificere det i dag – det tager kun få minutter. Har I mistanke om at serveren allerede er kompromitteret, skal den isoleres fra resten af netværket og undersøges af en specialist, før den tages i brug igen. Kontakt os gerne for hjælp til at vurdere jeres eksponering.
Tidslinje
Konkrete eksempler
Angreb via ubeskyttet webgrænseflade
En angriber scanner internettet for servere der kører Dockwatch og finder en SMV der har grænsefladen åben på port 80. Angriberen sender en POST-forespørgsel til ajax/compose.php med en manipuleret composePath-parameter der indeholder en skjult kommando. Fordi autentificeringschecket i loader.php ikke stopper forespørgslen korrekt, udføres kommandoen på serveren – og angriberen henter alle virksomhedens kundedata.
Overtagelse af hele serverinfrastrukturen via Docker-socket
Efter at have fået adgang via kommandoindsprøjtningen udnytter angriberen at Dockwatch har adgang til Docker-socketfilen. Angriberen starter en ny Docker-container der monterer serverens rodfilsystem, og opretter en ny administratorkonto på selve værtsserveren. Herefter har angriberen permanent og skjult adgang til al infrastruktur – også selv om Dockwatch efterfølgende opdateres eller fjernes.
Ransomware-installation via automatiseret angrebsværktøj
Et automatiseret angrebsprogram scanner kontinuerligt internettet og identificerer sårbare Dockwatch-installationer. Inden for timer efter CVE-offentliggørelsen rammer programmet en virksomheds server, installerer ransomware (afpresningssoftware der krypterer filer) og sletter lokale backups via Docker-containerstyring. Virksomheden modtager et krav om løsepenge for at få sine data tilbage.
Ofte stillede spørgsmål
Skal vi bruge Dockwatch for at være sårbare?
Ja. Sårbarheden findes specifikt i Dockwatch-softwaren. Bruger I ikke Dockwatch, er I ikke berørt af netop denne CVE. Er I i tvivl, så spørg jeres IT-ansvarlige om I anvender Docker-administrationsværktøjer, og hvilke.
Er vi i fare hvis Dockwatch kun er tilgængeligt internt?
Risikoen er markant lavere, men ikke nul. Interne trusler – fx en kompromitteret medarbejderkonto eller et andet inficeret system på netværket – kan stadig udnytte sårbarheden. Opdatering og begrænsning af adgang anbefales uanset hvad.
Findes der en officiel patch til CVE-2026-58455?
På tidspunktet for offentliggørelsen af sårbarheden er en officiel patch endnu ikke bekræftet frigivet. Følg Dockwatch’s GitHub-side for opdateringer, og kontakt udviklerne direkte. Midlertidig beskyttelse opnås ved at blokere ekstern adgang til tjenesten.
Hvad er en OS command injection, og hvorfor er det så farligt?
OS command injection (kommandoindsprøjtning på operativsystemniveau) betyder, at en angriber kan ‘snige’ egne systemkommandoer ind i et program, som så udfører dem med serverens fulde rettigheder. Det svarer til at en fremmed person kan tale direkte med din servers styresystem og fortælle det hvad det skal gøre – uden begrænsninger.
Hvad er Docker-socket, og hvorfor øger det risikoen?
Docker-socket er en kommunikationskanal der giver direkte adgang til at styre alle Docker-containere på en maskine. Dockwatch monterer typisk denne socket for at kunne administrere containere. Har en angriber adgang til den, kan vedkommende oprette nye containere med fuld adgang til serverens filer – og dermed i praksis overtage hele serveren, ikke kun den container Dockwatch kører i.
Kan vi opdage om nogen allerede har udnyttet sårbarheden?
Det kan være svært at opdage uden teknisk hjælp, men I kan starte med at kigge i serverens adgangslogfiler (access logs) for usædvanlige POST-forespørgsler til ajax/compose.php, ukendte brugerkonti, nye processer eller udgående netværksforbindelser til ukendte adresser. Auroa kan hjælpe med en gennemgang hvis I er i tvivl.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Dockwatch through 0.6.567 contains an unauthenticated OS command injection vulnerability that allows remote attackers to execute arbitrary shell commands by exploiting a missing exit() after an authentication redirect in loader.php combined with unsanitized input passed to shell_exec() in ajax/compose.php. Attackers can seed the required session flag through the incomplete auth check, then inject arbitrary commands via the composePath POST parameter in the composePull action to achieve full host compromise, facilitated by the standard deployment mounting of the Docker socket.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
