[ Início ]

Estamos cientes de uma vulnerabilidade de Alta Gravidade (CVSS 8.6) que afeta o OVN (Open Virtual Network), especificamente o componente ovn-controller. Ela permite que um atacante remoto leia informações sensíveis da memória do sistema explorando pacotes DHCPv6 maliciosos. Essa vulnerabilidade foi catalogada na CVE-2026-5367 [1].

Os ambientes OpenStack [2] e Red Hat Virtualization (RHV) [3],  entre outros que utilizam OVN estão potencialmente vulneráveis a essa falha. Se você utiliza OpenStack ou RHV, a vulnerabilidade existe, mas a exploração só é possível se o DHCPv6 estiver ativo nas portas lógicas (Logical Switch Ports).

Execute o comando abaixo no seu ambiente para listar portas que possuem DHCPv6 ativo:

% ovn-nbctl --columns name,dhcpv6_options list logical_switch_port

Se o retorno trouxer ao menos uma linha preenchendo o campo dhcpv6_options, aquela porta está configurada para responder a mensagens DHCPv6 e, portanto, vulnerável.

De acordo com as informações mais recentes, não há uma Prova de Conceito (PoC) pública disponível para a CVE-2026-5367 no momento da escrita desse relatório. Enquanto uma PoC não estiver disponível, o risco de exploração é menor, mas a prioridade deve ser a atualização dos sistemas conforme orientação da Red Hat.

Detalhes Principais

• A Vulnerabilidade (Heap Over-read): a falha ocorre quando o ovn-controller processa pacotes DHCPv6 SOLICIT com o campo “Client ID” adulterado. O sistema acredita no comprimento falso informado pelo atacante e acaba lendo áreas de memória (heap) além do pacote original, copiando dados adjacentes para dentro da resposta que será enviada de volta para a máquina virtual do invasor.

• Impacto e Gravidade (CVSS 8.6):

  • CVSS 3.1 = 8.6 (Alto): demonstra a seriedade do risco.
  • O vetor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N  confirma que um atacante não autenticado pode, remotamente e com baixa complexidade, causar um vazamento de informações confidenciais da memória do sistema (conceito conhecido como out-of-bounds read).

  • Impacto à Confidencialidade (Alto): O vazamento pode expor dados internos de configuração, estados de memória ou outras informações sensíveis que auxiliem novos ataques.

O que acontece na prática

Na prática, a vulnerabilidade CVE-2026-5367 permite que um invasor remoto e sem autenticação vaze informações diretamente da memória do controlador de rede (ovn-controller) para uma máquina virtual sob seu controle. O passo a passo simplificado do que acontece é o seguinte:

1. O ponto de partida: Um invasor com acesso a uma VM maliciosa dentro da sua infraestrutura envia um pacote DHCPv6 especialmente modificado para a rede.

2. A falha acontece: O componente ovn-controller processa este pacote, mas não valida corretamente uma das informações de tamanho. Ao confiar no valor malicioso, ele acaba lendo uma região da memória (heap) que não deveria – isso é o estouro de leitura (out-of-bounds read).

3. O vazamento: O controlador, sem saber, anexa esse trecho de memória extra dentro do pacote de resposta que será enviado de volta para a VM do atacante.

O resultado prático e mais grave é que esses dados vazados da memória podem conter informações altamente sensíveis, como:

• Chaves de criptografia ou tokens de autenticação de outros serviços;

• Configurações internas de outras VMs ou do próprio ambiente de rede;

• Dados em trânsito que estavam temporariamente armazenados na memória;

• Endereços de memória que ajudam o invasor a planejar ataques futuros e mais complexos

Correção

A única maneira segura de eliminar o risco é aplicar os patches ou atualizar o OVN para uma das versões corrigidas: v24.03.8,v24.09.4,v25.03.3,v25.09.3 e v26.03.1.

Mitigação Temporária (não recomendada)

Caso não consiga atualizar imediatamente, é possível desabilitar o DHCPv6 nas portas vulneráveis com o comando abaixo.

Mas, atenção: isso interromperá a configuração automática de IPv6 para as workloads conectadas àquela porta, afetando a funcionalidade legítima.

% ovn-nbctl clear logical_switch_port <nome-da-porta> dhcpv6_options