Vulnerabilidad en Docker permite saltarse la autorización y obtener acceso al host

Se ha descubierto una vulnerabilidad de alta gravedad en Docker Engine que podría permitir a un atacante eludir los plugins de autorización (AuthZ) bajo ciertas circunstancias. Esto significa que alguien malintencionado podría acceder a tu sistema a pesar de las medidas de seguridad implementadas.

Cómo funciona el ataque

La vulnerabilidad, identificada como CVE-2026-34040 (con una puntuación CVSS de 8.8, que indica su alta peligrosidad), surge de una solución incompleta para CVE-2024-41110, una vulnerabilidad de máxima gravedad en el mismo componente que se descubrió en julio de 2024. Según los responsables de Docker Engine, un atacante podría usar una solicitud API (interfaz de programación de aplicaciones) especialmente diseñada para que el demonio de Docker (el proceso que gestiona los contenedores) envíe la solicitud a un plugin de autorización sin el cuerpo de la solicitud. Esto podría hacer que el plugin permita una solicitud que normalmente denegaría si tuviera toda la información.

• Un atacante puede manipular una solicitud de creación de contenedor añadiendo datos adicionales (padding) hasta superar 1MB.
• Esto hace que el demonio de Docker descarte el cuerpo de la solicitud antes de enviárselo al plugin de autorización.
• El plugin, al no ver nada que bloquear, permite la solicitud.
• Docker Engine procesa la solicitud completa y crea un contenedor privilegiado con acceso root al sistema host. Esto significa que el atacante puede acceder a archivos confidenciales como credenciales de AWS, claves SSH o configuraciones de Kubernetes.

A quién afecta

Esta vulnerabilidad afecta a cualquiera que utilice plugins de autorización que inspeccionen el cuerpo de la solicitud para tomar decisiones sobre el control de acceso. Además, investigadores de Cyera Research Labs advierten que incluso agentes de inteligencia artificial (IA) que se ejecutan dentro de un entorno Dockerizado podrían ser engañados para explotar esta vulnerabilidad, por ejemplo, al intentar depurar errores y no poder acceder a ciertos archivos de configuración.

Cómo protegerse

Se recomienda evitar el uso de plugins AuthZ que dependan de la inspección del cuerpo de la solicitud para tomar decisiones de seguridad. Otras medidas incluyen:

• Limitar el acceso a la API de Docker solo a personas de confianza, siguiendo el principio de privilegio mínimo.
• Ejecutar Docker en modo "rootless". En este modo, incluso si un contenedor tiene privilegios de "root", este se mapea a un usuario sin privilegios en el host, reduciendo el impacto de un ataque.
• Si no es posible usar el modo "rootless", usar la opción `--userns-remap` para obtener un mapeo similar de los identificadores de usuario (UID).

Qué significa esto para ti

Si utilizas Docker con plugins de autorización, es crucial que actualices a la versión 29.3.1 de Docker Engine, que incluye la solución a esta vulnerabilidad. Además, revisa la configuración de tus plugins de autorización y considera las alternativas mencionadas para mitigar el riesgo. No subestimes esta vulnerabilidad, ya que puede comprometer seriamente la seguridad de tus sistemas.