Quatro Falhas Críticas do OpenStack Keystone Permitem Escalação de Privilégios e Representação de Usuários
Atualizações de segurança do Ubuntu abordam múltiplas vulnerabilidades no OpenStack Keystone que permitem que atacantes autenticados contornem restrições de função, representem usuários e injetem atributos de política maliciosos. Organizações que executam versões Ubuntu LTS afetadas devem aplicar patches imediatamente.
TL;DR
- Restrições de credencial de aplicação podem ser contornadas para criar credenciais EC2 com privilégios elevados
- Falha no backend de identidade LDAP permite que atacantes se autentiquem como usuários desabilitados
- Plugin de autenticação falha em verificar propriedade de credencial, permitindo ataques de representação de usuário
- Vulnerabilidade do aplicador de política permite injeção JSON para sobrescrever atributos de segurança confiáveis
A Canonical lançou atualizações de segurança abordando quatro vulnerabilidades distintas no OpenStack Keystone, o serviço de gerenciamento de identidade e acesso para implantações do OpenStack. Essas falhas abrangem mecanismos de autenticação, autorização e aplicação de política, permitindo coletivamente que atacantes autenticados escalem privilégios, representem outros usuários e manipulem políticas de segurança.
As vulnerabilidades afetam múltiplas versões Ubuntu LTS, incluindo 22.04, 24.04 e 25.10. Organizações que operam infraestrutura OpenStack devem priorizar a aplicação desses patches para prevenir acesso não autorizado e movimento lateral dentro de seus ambientes de nuvem.
Escalação de Privilégios via Credenciais de Aplicação
- CVE-2026-33551 permite que credenciais de aplicação restritas criem credenciais EC2, contornando limitações de função pretendidas
- Usuários autenticados com apenas funções de leitor podem explorar isso para ganhar acesso elevado
- Afeta o gerenciamento do ciclo de vida de credenciais de aplicação no Keystone
Bypass de Autenticação e Representação de Usuário
- CVE-2026-40683: Backend LDAP falha em converter adequadamente atributos de usuário habilitado para booleano, permitindo que usuários desabilitados se autentiquem
- CVE-2026-42998: Plugin de autenticação de credencial de aplicação não valida que o usuário fornecido corresponde ao proprietário da credencial, permitindo representação
- Atacantes podem ganhar acesso não autorizado a tokens e credenciais de outros usuários
Injeção de Política e Manipulação de Atributos
- CVE-2026-42998 (componente de política): Aplicador RBAC mescla incondicionalmente corpos de solicitação JSON brutos em dicionários de política
- Atacantes podem injetar atributos de política arbitrários e sobrescrever dados de segurança confiáveis
- Permite contorno de políticas de controle de acesso pretendidas
Versões Afetadas e Mitigação
- Ubuntu 22.04 LTS, 24.04 LTS e 25.10 requerem patches imediatos
- Aplique atualizações de segurança USN-8433-1 aos pacotes OpenStack Keystone
- Revise e audite credenciais de aplicação e configurações de usuário LDAP após o patch
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.