Критически серьезная уязвимость Docker Engine (CVE-2024-41110) может быть использована злоумышленниками для обхода плагинов авторизации (AuthZ) через специально созданный запрос API, что позволит им выполнить несанкционированные действия, включая повышение привилегий.
О CVE-2024-41110
CVE-2024-41110 – это уязвимость, которая может быть использована удаленно, без вмешательства пользователя. Проблема усугубляется, что сложность атаки невелика.
«Злоумышленник может использовать обход с помощью API-запроса с Content-Length, установленным на 0 заставляя демона Docker пересылать запрос без тела плагину AuthZ, который может неправильно одобрить запрос. Модель авторизации Docker по умолчанию – это «все или ничего». Пользователи, имеющие доступ к демону Docker, могут выполнять любые команды Docker»
- объясняет старший инженер по безопасности Docker Габриэла Георгиева
Уязвимость затрагивает пользователей Docker Engine v19.03.x и более поздних версий, которые полагаются на плагины авторизации для принятия решений об управлении доступом. Она также затрагивает (в ограниченной степени) пользователей Docker Desktop версий до v4.32.0, поскольку они также включают затронутые версии Docker Engine.
Чтобы воспользоваться уязвимостью в Docker Desktop, злоумышленникам необходимо получить доступ к API Docker, «что обычно означает, что злоумышленник уже должен иметь локальный доступ к хост-машине, если только демон Docker не защищен по TCP», – добавила Георгиева.
Наконец, риск и потенциал эксплуатации меньше, поскольку стандартная конфигурация Docker Desktop не включает плагины AuthZ, а повышение привилегий ограничено виртуальной машиной Docker Desktop.
Что делать пострадавшим пользователям?
Пользователям Docker Engine рекомендуется обновить используемую версию до версии v23.0.14 или v27.1.0 (или более поздней). Если они не могут сделать это немедленно, им рекомендуется избегать использования плагинов AuthZ и ограничить доступ к API Docker только для доверенных лиц.
Пользователи Docker Desktop должны дождаться выхода версии с исправлением (v4.33). «Убедитесь, что плагины AuthZ не используются, и не открывайте Docker API по TCP без защиты», – призвала Георгиева.
Интересным моментом в CVE-2024-41110 является то, что эта проблема была исправлена в январе 2019 года в Docker Engine v18.09.1, но по неизвестным причинам она не была перенесена на более поздние версии.
Хотя уязвимость серьезная, Георгиева говорит, что «базовая вероятность того, что она будет использована, невелика». Неизвестно, использовалась ли эта проблема за прошедшие пять лет.
Комментарии (0)