Faille critique : Docker exposé aux attaques hors authentification

Une Faille Critique dans Docker Engine Exposée

Une nouvelle faille critique dans certaines versions de Docker Engine a été révélée, mettant en lumière des risques potentiels pour la sécurité. Identifiée sous le code CVE-2024-41110, cette vulnérabilité permettrait à un attaquant de contourner les plugins d’autorisation (AuthZ) dans des conditions spécifiques. Classée avec un score CVSS de 10.0, cette faille représente un risque élevé de sécurité.

Les détails techniques fournis par les mainteneurs du projet Moby indiquent que cette faille peut être exploitée via une requête API dont le champ Content-Length est fixé à 0. Ce défaut entraîne le transfert de la requête par le démon Docker sans son corps vers le plugin AuthZ, risquant ainsi une approbation incorrecte de la part du plugin.

Cette vulnérabilité remonte à une régression d’une faille découverte en 2018 et corrigée dans Docker Engine v18.09.1 en janvier 2019. Cependant, cette correction n’a pas été reportée dans les versions ultérieures (19.03 et au-delà), laissant ainsi les versions plus récentes exposées.

Mises à Jour et Versions Affectées

Le problème a été résolu dans les versions 23.0.14 et 27.1.0 de Docker Engine, disponibles depuis le 23 juillet 2024, après avoir été identifié en avril 2024. Les versions impactées, à condition d’utiliser AuthZ pour les décisions de contrôle d’accès, incluent :

• <= v19.03.15
• <= v20.10.27
• <= v23.0.14
• <= v24.0.9
• <= v25.0.5
• <= v26.0.2
• <= v26.1.4
• <= v27.0.3, et
• <= v27.1.0

Gabriela Georgieva de Docker précise que les utilisateurs des versions de Docker Engine v19.03.x et ultérieures, qui ne dépendent pas des plugins d’autorisation pour des décisions de contrôle d’accès, ainsi que les utilisateurs de toutes les versions de Mirantis Container Runtime, ne sont pas vulnérables. Ceux utilisant les produits commerciaux Docker et l’infrastructure interne n’étant pas basés sur les plugins AuthZ ne sont également pas affectés.

Concernant Docker Desktop, toutes les versions jusqu’à 4.32.0 sont également concernées. Néanmoins, la probabilité d’exploitation est limitée car cela nécessiterait un accès à l’API Docker, impliquant que l’attaquant dispose déjà d’un accès local à l’hôte. Un correctif est prévu pour une prochaine version (4.33), tel que mentionné dans le blog officiel de Docker.

Georgieva ajoute que la configuration par défaut de Docker Desktop n’inclut pas de plugins AuthZ, et que l’escalade de privilèges se limite à la machine virtuelle Docker Desktop, sans affecter l’hôte sous-jacent.

Même si Docker n’a pas mentionné de cas d’exploitation de cette faille dans la nature, il est crucial que les utilisateurs mettent à jour leurs installations vers la dernière version disponible pour atténuer les menaces potentielles.

Cette faille critique rappelle une autre série de vulnérabilités, surnommée « Leaky Vessels », que Docker avait corrigée en début d’année. Ces vulnérabilités permettaient à un attaquant de prendre un accès non autorisé au système de fichiers de l’hôte et de sortir du conteneur.

Selon un rapport de Unit 42 de Palo Alto Networks, la popularité croissante des services cloud a conduit à une utilisation accrue des conteneurs, devenus des éléments intégrés des infrastructures cloud. Bien que les conteneurs offrent de nombreux avantages, ils présentent également des faiblesses exploitées par des techniques d’évasion des conteneurs. Partageant le même noyau et souvent dépourvus d’une isolation complète du mode utilisateur de l’hôte, les conteneurs sont sensibles à plusieurs techniques d’attaque.

Pour plus de détails sur les notes de version et les correctifs applicables, consultez les notes de version Docker 24.0. En restant vigilants et en appliquant les mises à jour nécessaires, vous pouvez protéger efficacement vos systèmes contre de telles vulnérabilités. N’oubliez pas de suivre les dernières recommandations de sécurité pour assurer une protection optimale de vos environnements numériques.

Implications sécuritaires : Ce que vous devez savoir

Cette vulnérabilité critique dans Docker Engine présente un risque majeur pour les entreprises utilisant des conteneurs pour leurs infrastructures cloud. Un attaquant exploitant CVE-2024-41110 pourrait obtenir des privilèges élevés, accédant potentiellement à des informations sensibles et compromettant la sécurité globale du système. La capacité de contourner les plugins AuthZ rend cette faille particulièrement dangereuse, car elle pourrait permettre des actions non autorisées avec des droits administratifs.

Protégez-vous : Étapes clés contre les nouvelles vulnérabilités

Pour vous protéger contre cette vulnérabilité, il est essentiel de mettre à jour Docker Engine vers les versions corrigées 23.0.14 ou 27.1.0, disponibles depuis le 23 juillet 2024. Vérifiez également que vos configurations n’utilisent pas les plugins AuthZ de manière non sécurisée. Enfin, en entreprise, éduquez vos équipes à maintenir une politique de contrôle d’accès strict et à surveiller régulièrement les annonces de sécurité concernant les logiciels utilisés. Assurez-vous que toutes les mises à jour de sécurité sont appliquées dès leur disponibilité pour minimiser les risques d’exploitation.

Sources

• Blog de Docker sur la vulnérabilité AuthZ
• Notes de version Docker 24.0

Pour plus de contenu exclusif, suivez-nous sur Twitter et LinkedIn.