Kritická zraniteľnosť v Docker Engine

Vývojári kontajnerizačnej technológie Docker Engine vydali bezpečnostné aktualizácie, ktoré opravujú kritickú bezpečnostnú zraniteľnosť. CVE-2024-41110 možno zneužiť na obídenie autorizačných pluginov AuthZ a eskaláciu privilégií. Jedná sa o opätovný výskyt zraniteľnosti odstránenej v januári 2019, ktorej oprava nebola zakomponovaná do novších verzií Docker Engine 19.03 a vyššie.

Zraniteľné systémy:

  • Docker Engine vo verziách starších ako v23.0.14 (vrátane)
  • Docker Engine vo verziách starších ako v27.1.0 (vrátane)
  • Docker Desktop vo verziách starších ako v4.33

Pozn.    Zraniteľnosť je možné zneužiť len na inštanciách využívajúcich autorizačné pluginy AuthZ. Inštancie, ktoré nevyužívajú autorizačné pluginy a všetky verzie Miranis Container Runtime nie sú zraniteľné.

             Zneužitie zraniteľnosti v nástroji Docker Desktop je zložitejšie, nakoľko útočník musí disponovať prístupom k Docker API, ktoré je v štandardnej konfigurácii prístupné len pre používateľov s lokálnym prístupom k hostiteľskému systému.

Opis zraniteľnosti:

CVE-2024-41110 (CVSS skóre 10,0)

Kritická bezpečnostnú zraniteľnosť sa na nachádza v autorizačných pluginoch AuthZ, ktoré slúžia na filtrovanie prichádzajúcich API požiadaviek na základe autentifikácie a kontextu príkazov. CVE-2024-41110 možno zneužiť zaslaním špeciálne vytvorenej požiadavky s poľom Content-Length nastaveným na hodnotu 0, ktoré Docker démon preposiela na autorizačné pluginy bez tela požiadavky, čo môže viesť k ich nesprávnemu vyhodnoteniu a následnému vykonaniu príkazov.

Možné škody:

  • Obídenie mechanizmov autorizácie
  • Eskalácia privilégií

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladnú aktualizáciu zraniteľných systémov na najnovšiu verziu Docker Engine. Nakoľko aktualizácie na Docker Desktop ešte nie sú dostupné, odporúčame sledovať stránky výrobcu a po vydaní verzie 4.33 vykonať bezodkladnú aktualizáciu.

V prípadoch, kedy aktualizácia nie je možná, výrobca odporúča deaktivovať autorizačné pluginy AuthZ a limitovať prístup k Docker API len na dôveryhodné subjekty.

Zdroje:

https://www.docker.com/blog/docker-security-advisory-docker-engine-authz-plugin/

https://www.csoonline.com/article/3477530/docker-re-fixes-a-critical-authorization-bypass-vulnerability.html

https://www.bleepingcomputer.com/news/security/docker-fixes-critical-5-year-old-authentication-bypass-flaw/

https://thehackernews.com/2024/07/critical-docker-engine-flaw-allows.html