CVE-2024-41110: уязвимость из прошлого бросает тень на защиту Docker

Docker предупреждает о критической уязвимости в некоторых версиях Docker Engine, которая позволяет злоумышленникам обходить плагины авторизации (AuthZ). Уязвимость, отслеживаемая как CVE-2024-41110, имеет максимальную оценку по CVSS — 10.0.

Согласно заявлению разработчиков проекта Moby: «Злоумышленник может использовать обход с помощью API-запроса с установленным Content-Length равным 0, что приведёт к отправке запроса без тела к плагину AuthZ, который может неправильно одобрить запрос».

Особенно примечательно то, что, по сообщениям Docker, проблема является очень старой и давно известной. Она была обнаружена ещё в 2018 году и исправлена в версии Docker Engine v18.09.1, вышедшей в январе 2019 года. Тем не менее, по какой-то причине исправление не было перенесено в последующие версии Docker (19.03 и выше).

После повторного обнаружения проблемы в апреле этого года, уже в июле были выпущены соответствующие патчи (23.0.14 и 27.1.0), устраняющие данную уязвимость. Стоит отметить, что следующие версии Docker всё ещё уязвимы для эксплуатации CVE-2024-41110:

• <= v19.03.15;
• <= v20.10.27;
• <= v23.0.14;
• <= v24.0.9;
• <= v25.0.5;
• <= v26.0.2;
• <= v26.1.4;
• <= v27.0.3;
• <= v27.1.0.

Представители Docker заявили, что пользователи Docker Engine v19.03.x и более поздних версий, которые не зависят от плагинов авторизации для принятия решений об управлении доступом, а также пользователи всех версий Mirantis Container Runtime — не подвержены выявленной уязвимости.

Стоит отметить, что уязвимость также затрагивает Docker Desktop до версии 4.32.0, хотя вероятность эксплуатации ограничена и требует доступа к API Docker, что подразумевает наличие локального доступа к хосту. Исправление будет включено в будущий выпуск (версия 4.33).

«Конфигурация Docker Desktop по умолчанию не включает плагины AuthZ», — отметили представители Docker. «Эскалация привилегий ограничена виртуальной машиной Docker Desktop, а не базовым хостом».

Хотя Docker не упоминает случаи эксплуатации CVE-2024-41110 в реальных атаках, пользователям настоятельно рекомендуется обновить свои установки до последней версии для предотвращения потенциальных угроз.

Ранее в этом году Docker исправил набор уязвимостей, названных Leaky Vessels, которые позволяли злоумышленникам получать несанкционированный доступ к файловой системе хоста и выходить за пределы контейнера.

«С ростом популярности облачных сервисов увеличивается и использование контейнеров, которые стали неотъемлемой частью облачной инфраструктуры», — отметили специалисты из Palo Alto Networks Unit 42 в опубликованном на прошлой неделе отчёте. «Хотя контейнеры предоставляют множество преимуществ, они также уязвимы для атак».

«Используя общее ядро и часто не имея полной изоляции от режима пользователя хоста, контейнеры подвержены различным техникам, которые злоумышленники используют для выхода из контейнерной среды», — пояснили исследователи.