Falha crítica no mecanismo Docker permite que invasores ignorem plug-ins de autorização

Compartilhe

O Docker está alertando sobre uma falha crítica que afeta certas versões do Docker Engine, permitindo que um invasor ignore plug-ins de autorização (AuthZ) em circunstâncias específicas.

Identificada como CVE-2024-41110, a vulnerabilidade de desvio e escalonamento de privilégios tem uma pontuação CVSS de 10,0, indicando gravidade máxima.

“Um invasor pode explorar esse desvio usando uma solicitação de API com Content-Length definido como 0, fazendo com que o daemon do Docker encaminhe a solicitação sem o corpo para o plug-in AuthZ, o que pode aprovar a solicitação incorretamente”, afirmaram os mantenedores do Projeto Moby em um comunicado.

Docker

O Docker explicou que o problema é uma regressão, pois foi descoberto originalmente em 2018 e resolvido no Docker Engine v18.09.1 em janeiro de 2019, mas nunca foi transferido para versões subsequentes (19.03 e posteriores).

O problema foi resolvido nas versões 23.0.14 e 27.1.0 em 23 de julho de 2024, após o problema ter sido identificado em abril de 2024. As seguintes versões do Docker Engine são impactadas, supondo que o AuthZ seja usado para tomar decisões de controle de acesso –

<= v19.03.15
<= v20.10.27
<= v23.0.14
<= v24.0.9
<= v25.0.5
<= v26.0.2
<= v26.1.4
<= v27.0.3, e
<= v27.1.0

“Usuários do Docker Engine v19.03.x e versões posteriores que não dependem de plugins de autorização para tomar decisões de controle de acesso e usuários de todas as versões do Mirantis Container Runtime não são vulneráveis”, disse Gabriela Georgieva, do Docker .

“Usuários de produtos comerciais e infraestrutura interna do Docker que não dependem de plugins AuthZ não são afetados.”

Ele também afeta o Docker Desktop até as versões 4.32.0, embora a empresa tenha dito que a probabilidade de exploração é limitada e requer acesso à API do Docker, necessitando que um invasor já tenha acesso local ao host. Espera-se que uma correção seja incluída em uma versão futura (versão 4.33).

“A configuração padrão do Docker Desktop não inclui plugins AuthZ”, Georgieva observou. “A escalada de privilégios é limitada ao Docker Desktop [máquina virtual], não ao host subjacente.”

Embora o Docker não mencione a exploração do CVE-2024-41110, é essencial que os usuários apliquem suas instalações à versão mais recente para mitigar possíveis ameaças.

No início deste ano, a Docker começou a corrigir um conjunto de falhas chamadas Leaky Vessels , que poderiam permitir que um invasor obtivesse acesso não autorizado ao sistema de arquivos do host e escapasse do contêiner.

“À medida que os serviços de nuvem aumentam em popularidade, o mesmo acontece com o uso de contêineres, que se tornaram parte integrante da infraestrutura de nuvem”, disse a Palo Alto Networks Unit 42 em um relatório publicado na semana passada. “Embora os contêineres forneçam muitas vantagens, eles também são suscetíveis a técnicas de ataque como escapes de contêineres.”

“Compartilhando o mesmo kernel e muitas vezes sem isolamento completo do modo de usuário do host, os contêineres são suscetíveis a várias técnicas empregadas por invasores que buscam escapar dos limites de um ambiente de contêiner.”