Уязвимость в Docker Engine позволяет обходить авторизацию и получать доступ к хосту
Уязвимость в Docker Engine позволяет обходить авторизацию и получать доступ к хосту
Недавно в официальном advisory Docker была описана уязвимость высокой степени опасности, которая позволяет злоумышленникам обходить механизмы авторизации и получать несанкционированный доступ к хост-системе. Эта уязвимость связана с ошибками в реализации плагинов авторизации в Docker Engine и затрагивает определённые конфигурации, при которых проверка прав пользователей выполняется некорректно.
Подробности уязвимости
Docker Engine широко используется в корпоративных инфраструктурах для управления контейнерами и автоматизации развертывания приложений. Для защиты доступа к Docker часто применяются плагины авторизации, которые контролируют права пользователей и ограничивают выполнение команд. Однако в описанной уязвимости ошибка в реализации плагинов авторизации позволяет злоумышленникам обходить эти проверки.
Уязвимость проявляется в случаях, когда Docker Engine настроен с включённым плагином авторизации, который неправильно обрабатывает запросы к Docker API, особенно если доступ к API открыт по сети (например, через TCP). В таких условиях злоумышленник, имеющий возможность взаимодействовать с Docker API, может выполнить команды с повышенными привилегиями, которые обычно ограничены. Это может привести к получению контроля над хост-системой.
Затронуты версии Docker Engine до выпуска исправлений, включённых в релизы, начиная с версии 24.0.5 и выше. В официальном advisory Docker подробно описаны рекомендации по обновлению и настройке безопасности.
Почему это важно для организаций, управляющих внешней поверхностью атаки
Для компаний, использующих Docker в производственных и тестовых средах, эта уязвимость представляет серьёзную угрозу безопасности. Контейнеры часто работают с чувствительными данными и обеспечивают критичные сервисы, а доступ к хосту может привести к масштабным последствиям:
- Нарушение конфиденциальности данных и утечка информации.
- Возможность развертывания вредоносного ПО на уровне операционной системы.
- Потеря контроля над инфраструктурой и нарушение бизнес-процессов.
- Распространение атаки на другие системы внутри сети.
Особенно уязвимы организации с плохо настроенными механизмами контроля доступа к Docker API, включая открытые TCP-порты без надлежащей аутентификации, а также недостаточным мониторингом активности контейнеров.
Практические рекомендации для команд безопасности
Для минимизации рисков, связанных с данной уязвимостью, специалистам по информационной безопасности следует принять следующие меры:
- Обновить Docker Engine до версии 24.0.5 или выше, в которых исправлена данная уязвимость. Следите за официальными релизами и патчами от разработчиков на сайте Docker.
- Проверить конфигурации Docker, особенно настройки плагинов авторизации и доступ к Docker API, чтобы убедиться в отсутствии открытых точек входа для неавторизованных пользователей.
- Ограничить доступ к Docker API только доверенным администраторам и сервисам с использованием сетевых политик и аутентификации. Рекомендуется избегать открытия Docker API по TCP без надёжной защиты.
- Внедрить мониторинг и аудит активности Docker, чтобы своевременно обнаруживать подозрительные команды и попытки обхода авторизации.
- Использовать принципы минимальных привилегий при настройке прав пользователей и сервисов, взаимодействующих с Docker.
- Рассмотреть применение инструментов внешнего управления поверхностью атаки (EASM) для выявления и контроля всех публичных и внутренних ресурсов, связанных с Docker и контейнеризацией.
Внимательное отношение к безопасности контейнерной инфраструктуры и своевременное реагирование на выявленные уязвимости помогут предотвратить возможные инциденты и сохранить целостность корпоративных систем.
Источник: Docker Security Advisory, версия 24.0.5 и выше.
