Kritik öneme sahip bir Docker Engine güvenlik açığı (CVE-2024-41110), saldırganlar tarafından özel olarak hazırlanmış API isteği yoluyla yetkilendirme eklentilerini (AuthZ) atlatmak için kullanılabilir ve böylece ayrıcalık yükseltme gibi yetkisiz eylemler gerçekleştirilebilir.
CVE-2024-41110 Hakkında
CVE-2024-41110, herhangi bir kullanıcı etkileşimi olmadan uzaktan istismar edilebilen ve saldırı karmaşıklığı düşük olan bir güvenlik açığıdır.
Docker Kıdemli Güvenlik Mühendisi Gabriela Georgieva, “Bir saldırgan, İçerik Uzunluğu 0 olarak ayarlanmış bir API isteğini kullanarak bir atlatmayı istismar edebilir ve bu da Docker daemon’unun gövde olmadan isteği AuthZ eklentisine iletmesine neden olabilir ve bu da isteği yanlış bir şekilde onaylayabilir” şeklinde açıklama yaptı.
“Docker’ın varsayılan yetkilendirme modeli her şey veya hiçbir şeydir. Docker daemon’a erişimi olan kullanıcılar herhangi bir Docker komutunu yürütebilir.”
Bu güvenlik açığı, erişim kontrol kararları almak için yetkilendirme eklentilerine güvenen Docker Engine v19.03.x ve sonraki sürümlerin kullanıcılarını etkiler. Ayrıca (sınırlı bir şekilde) v4.32.0’a kadar Docker Desktop sürümlerinin kullanıcılarını da etkiler, çünkü bunlar Docker Engine’in etkilenen sürümlerini de içerir.
Georgieva, Docker Desktop’taki açığı istismar etmek için saldırganların Docker API’sine erişime sahip olması gerektiğini, “bu da genellikle saldırganın ana makineye yerel erişime sahip olması gerektiği anlamına gelir, Docker daemon’u TCP üzerinden güvenli olmayan bir şekilde açığa çıkarılmadığı sürece” diye ekledi.
Son olarak, varsayılan Docker Desktop yapılandırması AuthZ eklentilerini içermediğinden ve ayrıcalık yükseltmesi Docker Desktop VM ile sınırlı olduğundan, istismar riski ve potansiyeli daha azdır.
Etkilenen kullanıcılar ne yapmalı?
Docker Engine kullanıcılarının çalıştırdıkları sürümü v23.0.14 veya v27.1.0 (veya üzeri) sürümüne yükseltmeleri önerilir. Bunu hemen yapamazlarsa, AuthZ eklentilerini kullanmaktan kaçınmaları ve Docker API’sine erişimi yalnızca güvenilir taraflarla sınırlamaları önerilir.
Docker Desktop kullanıcıları, düzeltmenin (v4.33) yayınlanacağı bir sürümü beklemek zorunda. Georgieva, “AuthZ eklentilerinin kullanılmadığından ve koruma olmadan TCP üzerinden Docker API’yi ifşa etmediğinden emin olun” diye uyardı.
CVE-2024-41110 ile ilgili ilginç olan şey, Ocak 2019’da Docker Engine v18.09.1’de düzeltilmiş bir sorun olması ancak açıklanmayan nedenlerden dolayı düzeltmenin sonraki sürümlere taşınmamış olmasıdır.
Georgieva, güvenlik açığının ciddi olduğunu ancak “bunun istismar edilme olasılığının düşük” olduğunu söylüyor. Sorunun aradan geçen beş yıl içinde istismar edilip edilmediği ise belirsiz.