Docker kritik kimlik doğrulama atlama açığını tekrar düzeltti (CVE-2024-41110)
Kritik şiddette Docker Motoru Güvenlik açığı (CVE-2024-41110), saldırganlar tarafından özel olarak hazırlanmış API isteği yoluyla yetkilendirme eklentilerini (AuthZ) atlatmak için kullanılabilir ve ayrıcalık yükseltme de dahil olmak üzere yetkisiz eylemler gerçekleştirmelerine olanak tanır.
CVE-2024-41110 Hakkında
CVE-2024-41110, herhangi bir kullanıcı etkileşimi olmadan uzaktan istismar edilebilen ve saldırı karmaşıklığı düşük olan bir güvenlik açığıdır.
“Bir saldırgan, İçerik Uzunluğu 0 olarak ayarlanmış bir API isteğini kullanarak bir atlatmayı istismar edebilir ve bu da Docker daemon’unun gövde olmadan isteği AuthZ eklentisine iletmesine neden olabilir ve bu da isteği yanlış bir şekilde onaylayabilir” Docker Kıdemli Güvenlik Mühendisi Gabriela Georgieva açıklanmış.
“Docker’ın varsayılan yetkilendirme modeli her şey veya hiçbir şeydir. Docker daemon’a erişimi olan kullanıcılar herhangi bir Docker komutunu yürütebilir.”
Güvenlik açığı, erişim denetimi kararları almak için yetkilendirme eklentilerine güvenen Docker Engine v19.03.x ve sonraki sürümlerin kullanıcılarını etkiler. Ayrıca (sınırlı bir şekilde) şu kullanıcıları da etkiler.
Georgieva, Docker Desktop’taki açığı istismar etmek için saldırganların Docker API’sine erişime sahip olması gerektiğini, “bu da genellikle saldırganın ana makineye yerel erişime sahip olması gerektiği anlamına gelir, Docker daemon’u TCP üzerinden güvenli olmayan bir şekilde açığa çıkarılmadığı sürece” diye ekledi.
Son olarak, varsayılan Docker Desktop yapılandırması AuthZ eklentilerini içermediğinden ve ayrıcalık yükseltmesi Docker Desktop VM ile sınırlı olduğundan, istismar riski ve potansiyeli daha azdır.
Etkilenen kullanıcılar ne yapmalı?
Docker Engine kullanıcılarının çalıştırdıkları sürümü v23.0.14 veya v27.1.0 (veya üzeri) sürümüne yükseltmeleri önerilir. Bunu hemen yapamazlarsa, AuthZ eklentilerini kullanmaktan kaçınmaları ve Docker API’sine erişimi yalnızca güvenilir taraflarla sınırlamaları önerilir.
Docker Desktop kullanıcıları, düzeltmenin (v4.33) yayınlanacağı bir sürümü beklemek zorunda. Georgieva, “AuthZ eklentilerinin kullanılmadığından ve koruma olmadan TCP üzerinden Docker API’yi ifşa etmediğinden emin olun” diye uyardı.
CVE-2024-41110 ile ilgili ilginç olan şey, Ocak 2019’da Docker Engine v18.09.1’de düzeltilmiş bir sorun olması ancak açıklanmayan nedenlerden dolayı düzeltmenin sonraki sürümlere taşınmamış olmasıdır.
Georgieva, güvenlik açığının ciddi olduğunu ancak “bunun istismar edilme olasılığının düşük” olduğunu söylüyor. Sorunun aradan geçen beş yıl içinde istismar edilip edilmediği ise belirsiz.
0 Yorumlar