Docker Users Beware: CVE-2024-41110 (CVSS 10) Could Lead to System Takeover
2024/07/23 SecurityOnline — Docker が発表したセキュリティ・アドバイザリは、Docker Engine の特定のバージョンに影響を及ぼす重大な脆弱性に関するものだ。この脆弱性 CVE-2024-41110 (CVSS:10) の悪用に成功した攻撃者は、特定の状況下で認証プラグイン (AuthZ) のバイパスを可能とし、権限昇格などの不正なアクションを実施する機会を得る。基本的に、この脆弱性が悪用される可能性は低いが、影響は深刻と思われるため、Docker ユーザーは注意を払うべきである。
前述の通り、この脆弱性の悪用に成功した攻撃者は、特定の条件下で認可プラグイン (AuthZ) のバイパスが可能となる。Docker Engine 環境内で、きめ細かいアクセス制御を実施するように、この AuthZ プラグインは設計されている。しかし、このリグレッションを悪用する攻撃者は、一連のチェックを回避する API リクエストの作成が可能となり、不正な権限を取得する可能性を手にする。
脆弱性 CVE-2024-41110 は、Docker Engine バージョン 19.03.x 以降において、AuthZ プラグインを利用するように設定されたものに影響する。したがって、AuthZ プラグインを使用していないユーザーや、古いバージョンの Docker Engine を実行しているユーザーは影響を受けない。
悪用の可能性は低いと考えられるが、コンテナのオーケストレーションとデプロイにおいて、Docker Engine が重要な役割を果たす本番環境では、潜在的な影響が大きい。
人気の開発ツールである Docker Desktop への影響は、それほど深刻ではない。この脆弱性を悪用するためには、Docker API へのアクセスが必要であり、デーモンが安全にコンフィグされていない場合を除いて、通常ではマシンへのローカル・アクセスが必要となる。さらに言えば、Docker Desktop のデフォルト・コンフィグには、AuthZ プラグインが含まれていない。ただし、Docker が推奨するのは、パッチを適用した Docker Engine が取り込まれた、バージョン 4.33 への更新である。
影響を受けるすべてのユーザーに対して、早急に対処するよう、Docker は強く推奨している:
- Docker Engine のアップデート: パッチが適用された最新バージョンの Docker Engine へと、可能な限り早急にアップデートすること。
- 緩和策: 早急なアップデートができない場合には、AuthZ プラグインを一時的に無効化し、Docker API へのアクセスを制限する。
- Docker Desktop のアップデート: リリースと同時に、バージョンを Docker Desktop 4.33 にアップデートする。
Docker に認証バイパスの脆弱性 CVE-2024-41110 が発生し、CVSS 値は 10.0 とされています。AuthZ プラグインの有効化している場合に、この問題が生じるとのことですので、ご利用のチームは、ご注意ください。よろしければ、Docker で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.