Docker ha recentemente avvisato riguardo una vulnerabilità critica che interessa alcune versioni del Docker Engine, permettendo a un attaccante di bypassare i plugin di autorizzazione (AuthZ) in circostanze specifiche. Identificata come CVE-2024-41110, questa vulnerabilità di escalation di privilegi ha un punteggio CVSS di 10.0, indicando la massima gravità.

Un attaccante potrebbe sfruttare questa vulnerabilità inviando una richiesta API con il campo Content-Length impostato a 0. Questo induce il demone Docker a inoltrare la richiesta senza il corpo al plugin AuthZ, che potrebbe approvare la richiesta in modo errato. I manutentori del Moby Project hanno segnalato che il problema è una regressione di una vulnerabilità scoperta originariamente nel 2018 e risolta nella versione Docker Engine v18.09.1 nel gennaio 2019, ma che non è stata trasferita alle versioni successive (19.03 e seguenti).

Il problema è stato risolto nelle versioni 23.0.14 e 27.1.0 a partire dal 23 luglio 2024, dopo essere stato identificato nell'aprile 2024. Le versioni di Docker Engine impattate, assumendo che AuthZ sia utilizzato per prendere decisioni di controllo accessi, includono:

• <= v19.03.15
• <= v20.10.27
• <= v23.0.14
• <= v24.0.9
• <= v25.0.5
• <= v26.0.2
• <= v26.1.4
• <= v27.0.3
• <= v27.1.0

Gabriela Georgieva di Docker ha dichiarato che gli utenti delle versioni di Docker Engine v19.03.x e successive che non fanno affidamento sui plugin di autorizzazione per prendere decisioni di controllo accessi e gli utenti di tutte le versioni di Mirantis Container Runtime non sono vulnerabili. Anche gli utenti dei prodotti commerciali Docker e delle infrastrutture interne che non si basano sui plugin AuthZ non sono interessati.

La vulnerabilità interessa anche Docker Desktop fino alle versioni 4.32.0, sebbene la società affermi che la probabilità di sfruttamento è limitata e richiede l'accesso all'API Docker, necessitando che un attaccante abbia già accesso locale all'host. Un fix è previsto in una prossima release (versione 4.33).

Georgieva ha inoltre osservato che la configurazione predefinita di Docker Desktop non include i plugin AuthZ. L'escalation dei privilegi è limitata alla macchina virtuale di Docker Desktop, non all'host sottostante. Anche se Docker non menziona che CVE-2024-41110 sia stata sfruttata attivamente, è essenziale che gli utenti aggiornino le loro installazioni all'ultima versione per mitigare potenziali minacce.

All'inizio di quest'anno, Docker ha risolto una serie di vulnerabilità denominate Leaky Vessels, che potrebbero consentire a un attaccante di ottenere accesso non autorizzato al filesystem dell'host e uscire dal container.

Palo Alto Networks Unit 42 ha sottolineato in un rapporto che, con l'aumento della popolarità dei servizi cloud, anche l'uso dei container è cresciuto, diventando una parte integrata dell'infrastruttura cloud. Tuttavia, i container, pur offrendo molti vantaggi, sono anche suscettibili a tecniche di attacco come le evasioni dai container, condividendo lo stesso kernel e spesso mancando di un'isolamento completo dal user-mode dell'host.