Docker waarschuwt voor een kritieke fout die gevolgen heeft voor bepaalde versies van Docker Engine en waarmee een aanvaller onder bepaalde omstandigheden autorisatieplug-ins (AuthZ) kan omzeilen.
Gevolgd als CVE-2024-41110De kwetsbaarheid voor bypass en privilege-escalatie heeft een CVSS-score van 10,0, wat duidt op de maximale ernst.
“Een aanvaller zou een omzeiling kunnen misbruiken door een API-aanvraag te gebruiken met Content-Length ingesteld op 0, waardoor de Docker-daemon de aanvraag zonder de body doorstuurt naar de AuthZ-plug-in, die de aanvraag mogelijk ten onrechte goedkeurt”, aldus de beheerders van het Moby Project in een advies.
Docker gaf aan dat het probleem een regressie is, in die zin dat het oorspronkelijk in 2018 werd ontdekt en in januari 2019 werd opgelost in Docker Engine v18.09.1, maar nooit is overgedragen naar latere versies (19.03 en later).
Het probleem is opgelost in versie 23.0.14 en 27.1.0 vanaf 23 juli 2024, nadat het probleem in april 2024 werd geïdentificeerd. De volgende versies van Docker Engine worden beïnvloed, ervan uitgaande dat AuthZ wordt gebruikt om toegangscontrolebeslissingen te nemen:
- <= versie 19.03.15
- <= versie 20.10.27
- <= versie 23.0.14
- <= versie 24.0.9
- <= versie 25.0.5
- <= versie 26.0.2
- <= versie 26.1.4
- <= v27.0.3, en
- <= versie 27.1.0
“Gebruikers van Docker Engine v19.03.x en latere versies die niet afhankelijk zijn van autorisatieplug-ins om beslissingen over toegangscontrole te nemen en gebruikers van alle versies van Mirantis Container Runtime zijn niet kwetsbaar”, aldus Gabriela Georgieva van Docker.
“Gebruikers van commerciële Docker-producten en interne infrastructuur die niet afhankelijk zijn van AuthZ-plug-ins, ondervinden geen hinder.”
Het heeft ook invloed op Docker Desktop tot versie 4.32.0, hoewel het bedrijf zei dat de kans op misbruik beperkt is en dat het toegang tot de Docker API vereist, wat vereist dat een aanvaller al lokale toegang tot de host heeft. Er wordt verwacht dat er een oplossing wordt opgenomen in een aanstaande release (versie 4.33).
“Standaard Docker Desktop-configuratie bevat geen AuthZ-plug-ins,” merkte Georgieva op. “Privilege-escalatie is beperkt tot de Docker Desktop (virtuele machine), niet de onderliggende host.”
Hoewel Docker niet vermeldt dat CVE-2024-41110 in het wild wordt misbruikt, is het van essentieel belang dat gebruikers hun installaties uitvoeren op de nieuwste versie om potentiële bedreigingen te beperken.
Eerder dit jaar heeft Docker een aantal fouten gepatcht die de naam Leaky Vessels dragen. Deze fouten kunnen een aanvaller in staat stellen om ongeautoriseerde toegang te krijgen tot het hostbestandssysteem en uit de container te breken.
“Naarmate cloudservices populairder worden, neemt ook het gebruik van containers toe, die een geïntegreerd onderdeel van de cloudinfrastructuur zijn geworden”, aldus Palo Alto Networks Unit 42 in een vorige week gepubliceerd rapport. “Hoewel containers veel voordelen bieden, zijn ze ook vatbaar voor aanvalstechnieken zoals container escapes.”
“Containers delen dezelfde kernel en zijn vaak niet volledig geïsoleerd van de gebruikersmodus van de host. Daardoor zijn ze vatbaar voor verschillende technieken die aanvallers gebruiken om te ontsnappen aan de beperkingen van een containeromgeving.”
