Docker ha identificado una falla crítica en ciertas versiones de Docker Engine que podría permitir a los atacantes eludir los complementos de autorización (AuthZ) en circunstancias específicas. Esta vulnerabilidad, rastreada como CVE-2024-41110, tiene una puntuación CVSS de 10.0, indicando máxima gravedad.
Detalles de la Vulnerabilidad
La vulnerabilidad permite una omisión y escalada de privilegios a través de una solicitud de API con
1 | Content-Length |
establecido en 0. Esto hace que el demonio de Docker reenvíe la solicitud sin el cuerpo al complemento AuthZ, que podría aprobarla incorrectamente. Los mantenedores del Proyecto Moby destacaron que el problema, originalmente descubierto en 2018 y abordado en Docker Engine v18.09.1 en enero de 2019, no se trasladó a versiones posteriores (19.03 y posteriores).
Versiones Afectadas
El problema se ha resuelto en las versiones 23.0.14 y 27.1.0 desde el 23 de julio de 2024. Las versiones afectadas de Docker Engine, asumiendo el uso de AuthZ, incluyen:
- <= v19.03.15
- <= v20.10.27
- <= v23.0.14
- <= v24.0.9
- <= v25.0.5
- <= v26.0.2
- <= v26.1.4
- <= v27.0.3
- <= v27.1.0
Usuarios No Afectados
Los usuarios de Docker Engine v19.03.x y versiones posteriores que no dependen de los complementos de autorización, así como los usuarios de todas las versiones de Mirantis Container Runtime, no son vulnerables. Los productos comerciales de Docker y la infraestructura interna sin dependencia de AuthZ también están exentos.
Impacto en Docker Desktop
Docker Desktop hasta la versión 4.32.0 está afectado, aunque la probabilidad de explotación es limitada, requiriendo acceso local a la API de Docker. Se espera una corrección en la próxima versión 4.33. La configuración predeterminada de Docker Desktop no incluye complementos de AuthZ, limitando la escalada de privilegios a la máquina virtual Docker Desktop y no al host subyacente.
Recomendaciones
Docker no ha mencionado que CVE-2024-41110 esté siendo explotado en la naturaleza, pero es crucial que los usuarios actualicen a la última versión para mitigar posibles amenazas. Anteriormente, Docker también parcheó un conjunto de fallas conocidas como Leaky Vessels, que podían permitir a un atacante obtener acceso no autorizado al sistema de archivos del host y salir del contenedor.
Contexto Adicional
A medida que los servicios en la nube aumentan en popularidad, el uso de contenedores se ha convertido en una parte integral de la infraestructura de la nube. Sin embargo, los contenedores son susceptibles a técnicas de ataque como los escapes de contenedores debido a que comparten el mismo kernel y a menudo carecen de un aislamiento completo del modo de usuario del host.
Según la Unidad 42 de Palo Alto Networks, los contenedores ofrecen muchas ventajas, pero también presentan riesgos significativos si no se gestionan adecuadamente.
Actualizar Docker Engine a las últimas versiones es esencial para asegurar la infraestructura y mitigar riesgos asociados con esta vulnerabilidad crítica.
Fuente: The Hacker News
