Docker advierte sobre una falla crítica que afecta a ciertas versiones de Docker Engine y que podría permitir a un atacante eludir los complementos de autorización (AuthZ) en circunstancias específicas.
Rastreado como CVE-2024-41110La vulnerabilidad de derivación y escalada de privilegios tiene una puntuación CVSS de 10,0, lo que indica la máxima gravedad.
“Un atacante podría explotar una omisión usando una solicitud API con Content-Length establecido en 0, lo que provocaría que el demonio Docker reenvíe la solicitud sin el cuerpo al complemento AuthZ, que podría aprobar la solicitud incorrectamente”, dijeron los mantenedores del Proyecto Moby en un aviso.
Docker dijo que el problema es una regresión, ya que se descubrió originalmente en 2018 y se solucionó en Docker Engine v18.09.1 en enero de 2019, pero nunca se trasladó a versiones posteriores (19.03 y posteriores).
El problema se resolvió en las versiones 23.0.14 y 27.1.0 a partir del 23 de julio de 2024, después de que se identificara el problema en abril de 2024. Las siguientes versiones de Docker Engine se ven afectadas suponiendo que se utiliza AuthZ para tomar decisiones de control de acceso:
“Los usuarios de Docker Engine v19.03.x y versiones posteriores que no dependen de complementos de autorización para tomar decisiones de control de acceso y los usuarios de todas las versiones de Mirantis Container Runtime no son vulnerables”, Gabriela Georgieva de Docker dicho.
“Los usuarios de productos comerciales y de infraestructura interna de Docker que no dependen de los complementos de AuthZ no se ven afectados”.
También afecta a Docker Desktop hasta la versión 4.32.0, aunque la empresa afirmó que la probabilidad de explotación es limitada y requiere acceso a la API de Docker, lo que requiere que un atacante ya tenga acceso local al host. Se espera que se incluya una solución en una próxima versión (versión 4.33).
“La configuración predeterminada de Docker Desktop no incluye los complementos de AuthZ”, señaló Georgieva. “La escalada de privilegios se limita a Docker Desktop [virtual machine]no el host subyacente”.
Si bien Docker no menciona que CVE-2024-41110 sea explotado en la naturaleza, es esencial que los usuarios apliquen sus instalaciones a la última versión para mitigar posibles amenazas.
A principios de este año, Docker actuó para reparar un conjunto de fallas denominadas Leaky Vessels que podrían permitir a un atacante obtener acceso no autorizado al sistema de archivos del host y escapar del contenedor.
“A medida que los servicios en la nube aumentan en popularidad, también lo hace el uso de contenedores, que se han convertido en una parte integrada de la infraestructura de la nube”, Palo Alto Networks Unit 42 dicho En un informe publicado la semana pasada se afirma que “aunque los contenedores ofrecen muchas ventajas, también son susceptibles a técnicas de ataque como las fugas de contenedores”.
“Al compartir el mismo kernel y a menudo carecer de un aislamiento completo del modo de usuario del host, los contenedores son susceptibles a varias técnicas empleadas por atacantes que buscan escapar de los confines de un entorno de contenedores”.