Los atacantes pueden aprovechar una vulnerabilidad de gravedad crítica en Docker Engine (CVE-2024-41110) para eludir los complementos de autorización (AuthZ) a través de una solicitud de API especialmente diseñada, lo que les permite realizar acciones no autorizadas, incluida la escalada de privilegios.
Acerca de CVE-2024-41110
CVE-2024-41110 es una vulnerabilidad que puede explotarse de forma remota, sin ninguna interacción del usuario, e incluso la complejidad del ataque es baja.
“Un atacante podría explotar una omisión usando una solicitud de API con Content-Length establecido en 0, lo que provocaría que el demonio Docker reenvíe la solicitud sin el cuerpo al complemento AuthZ, que podría aprobar la solicitud incorrectamente”, explicó la ingeniera de seguridad sénior de Docker, Gabriela Georgieva .
“El modelo de autorización predeterminado de Docker es de todo o nada. Los usuarios con acceso al demonio de Docker pueden ejecutar cualquier comando de Docker”.
La vulnerabilidad afecta a los usuarios de Docker Engine v19.03.x y versiones posteriores que dependen de complementos de autorización para tomar decisiones de control de acceso. También afecta (de manera limitada) a los usuarios de versiones de Docker Desktop hasta v4.32.0, ya que también incluyen versiones afectadas de Docker Engine.
Para explotar la falla en Docker Desktop, los atacantes necesitan tener acceso a la API de Docker, “lo que generalmente significa que el atacante ya debe tener acceso local a la máquina host, a menos que el demonio Docker esté expuesto de manera insegura a través de TCP”, agregó Georgieva.
Por último, el riesgo y el potencial de explotación son menores porque la configuración predeterminada de Docker Desktop no incluye complementos de AuthZ y la escalada de privilegios está limitada a la VM de Docker Desktop.
¿Qué deben hacer los usuarios afectados?
Se recomienda a los usuarios de Docker Engine que actualicen la versión que están ejecutando a la versión v23.0.14 o v27.1.0 (o posterior). Si no pueden hacerlo de inmediato, se les recomienda evitar el uso de complementos de AuthZ y restringir el acceso a la API de Docker solo a las partes de confianza.
Los usuarios de Docker Desktop deben esperar a que se publique una versión con la corrección (v4.33). “Asegúrense de que no se utilicen los complementos de AuthZ y de que no se exponga la API de Docker a través de TCP sin protección”, instó Georgieva.
Lo interesante de CVE-2024-41110 es que es un problema que se solucionó en enero de 2019 en Docker Engine v18.09.1 pero, por razones desconocidas, la solución no se trasladó a versiones posteriores.
Si bien la vulnerabilidad es grave, Georgieva afirma que “la probabilidad básica de que se aproveche es baja”. No está claro si el problema había sido explotado en los cinco años transcurridos desde entonces.
Fuente y redacción: helpnetsecurity.com