Docker ha emitido actualizaciones de seguridad para abordar una vulnerabilidad crítica que afecta a ciertas versiones de Docker Engine. Esta falla permite a un atacante eludir los plugins de autorización (AuthZ) en determinadas circunstancias.
Inicialmente descubierta y solucionada en la versión v18.09.1 de Docker Engine, lanzada en enero de 2019, la corrección no se aplicó en versiones posteriores, lo que provocó la reaparición de la falla. Este peligroso retroceso se identificó en abril de 2024, y finalmente hoy se han lanzado parches para todas las versiones soportadas de Docker Engine.
Cinco Años de Riesgo
La vulnerabilidad, ahora catalogada como CVE-2024-41110, es un problema de gravedad crítica (puntuación CVSS: 10.0) que permite a un atacante enviar una solicitud API especialmente diseñada con un Content-Length de 0, engañando al demonio de Docker para que la reenvíe al plugin AuthZ.
En situaciones normales, las solicitudes API incluyen un cuerpo que contiene los datos necesarios para la solicitud, y el plugin de autorización inspecciona este cuerpo para tomar decisiones de control de acceso. Cuando el Content-Length se establece en 0, la solicitud se reenvía al plugin AuthZ sin el cuerpo, lo que impide una validación adecuada. Esto conlleva el riesgo de aprobar solicitudes para acciones no autorizadas, incluyendo la escalada de privilegios.
Impacto y Soluciones
CVE-2024-41110 afecta a las versiones de Docker Engine hasta la v19.03.15, v20.10.27, v23.0.14, v24.0.9, v25.0.5, v26.0.2, v26.1.4, v27.0.3 y v27.1.0, para los usuarios que utilizan plugins de autorización para el control de acceso.
Los usuarios que no dependen de plugins de autorización, usuarios de Mirantis Container Runtime y usuarios de productos comerciales de Docker no se ven afectados por CVE-2024-41110, independientemente de la versión que ejecuten.
Las versiones parcheadas a las que se recomienda actualizar a los usuarios afectados son v23.0.14 y v27.1.0.
Docker Desktop
También se ha señalado que la versión más reciente de Docker Desktop, 4.32.0, incluye una versión vulnerable de Docker Engine, aunque el impacto es limitado ya que la explotación requiere acceso a la API de Docker, y cualquier acción de escalada de privilegios estaría limitada a la VM. La próxima versión de Docker Desktop, v4.33.0, resolverá el problema, aunque aún no ha sido lanzada.
Recomendaciones
Los usuarios que no puedan actualizar a una versión segura se les aconseja deshabilitar los plugins AuthZ y restringir el acceso a la API de Docker solo a usuarios de confianza.
Esta noticia subraya la importancia de mantener actualizado el software y monitorear constantemente las vulnerabilidades de seguridad para proteger los entornos de contenedores y garantizar la integridad de las operaciones.
