Netcrook Logo
👤 SECPULSE
🗓️ 08 Apr 2026  

Non più tagliati fuori: una falla AuthZ di Docker espone i sistemi host a intrusi furtivi

Una grave svista nel plugin di autorizzazione di Docker consente agli attaccanti di aggirare la sicurezza e minacciare il cuore stesso dell’infrastruttura container.

Immagina questo: una fortezza costruita per proteggere il cloud, con mura irte di serrature sofisticate - eppure una crepa trascurata permette agli intrusi di entrare come se nulla fosse. È la realtà inquietante che gli utenti Docker si trovano ad affrontare questa settimana, dopo che i ricercatori hanno scoperto una vulnerabilità ad alta gravità che apre un varco diretto nelle difese di autorizzazione della piattaforma, mettendo a rischio interi sistemi.

Dentro la violazione: come gli attaccanti scivolano oltre le difese di Docker

Al centro della violazione c’è il sistema di plugin di autorizzazione (AuthZ) di Docker - un posto di blocco personalizzabile che esamina le richieste API per far rispettare chi può fare cosa. In teoria, questi plugin ispezionano i dettagli completi di ogni comando, incluso il corpo della richiesta, prima di consentire azioni sensibili. Ma i ricercatori di sicurezza Oleh Konko, Cody e Asim Viladi Oglu Manizada hanno scoperto un difetto fatale: quando un utente invia una richiesta API con un corpo deliberatamente sovradimensionato, il demone di Docker potrebbe omettere il corpo nel passare la richiesta al plugin AuthZ.

Questa omissione, apparentemente minima, è una miniera d’oro per gli attaccanti. Se un plugin si basa sull’ispezione del corpo della richiesta per prendere la decisione, all’improvviso è cieco - costretto ad approvare o negare sulla base di dati incompleti. Il risultato? Richieste malevole che dovrebbero essere bloccate possono passare inosservate, concedendo accesso non autorizzato ai container e persino al sistema host stesso.

La vulnerabilità non richiede competenze di hacking d’élite né privilegi elevati. Chiunque abbia accesso locale e una conoscenza di base dell’API di Docker potrebbe potenzialmente sfruttare la lacuna. Peggio ancora, poiché la falla attraversa il confine di sicurezza tra i container e l’host, le conseguenze sono gravi - da qui la classificazione “scope changed” e l’elevato punteggio CVSS.

Un campanello d’allarme per la sicurezza basata su plugin

La risposta rapida di Docker - con la correzione del problema nella versione 29.3.1 - mostra l’urgenza, ma l’episodio evidenzia rischi sistemici più profondi. Il bug ha avuto origine da una correzione incompleta di una vulnerabilità precedente (CVE-2024-41110), sottolineando i pericoli di una remediation parziale e la complessità di mettere in sicurezza architetture basate su plugin.

Le organizzazioni che si affidano ai plugin AuthZ devono agire in fretta: aggiornare immediatamente, rivedere le regole di autorizzazione e - se non è possibile applicare la patch - evitare plugin che dipendono dall’ispezione del corpo della richiesta. Limitare l’accesso all’API di Docker agli utenti fidati e seguire sempre il principio del privilegio minimo.

In definitiva, questo incidente è un promemoria netto: anche le fortezze digitali più robuste possono essere compromesse da dettagli trascurati. Per i difensori, la lezione è chiara - non smettere mai di chiedersi se i tuoi controlli di sicurezza vedono davvero tutto ciò che dovrebbero.

WIKICROOK

  • Docker Engine: Docker Engine è il software principale che esegue e gestisce i container, consentendo un deployment delle applicazioni sicuro, coerente ed efficiente sui sistemi host.
  • Plugin di autorizzazione (AuthZ): Un plugin di autorizzazione (AuthZ) verifica se gli utenti hanno il permesso di accedere alle risorse o di eseguire azioni, facendo rispettare le policy di sicurezza in API e applicazioni.
  • Corpo della richiesta API: Il corpo della richiesta API contiene i dati inviati a un server durante una chiamata API, spesso includendo informazioni sensibili che devono essere protette per prevenire minacce informatiche.
  • Punteggio CVSS: Un punteggio CVSS valuta la gravità delle vulnerabilità di sicurezza da 0 a 10, con numeri più alti che indicano maggiore rischio e urgenza di risposta.
  • Principio del privilegio minimo: Il principio del privilegio minimo limita l’accesso di utenti e sistemi a ciò che è necessario, riducendo il rischio e rafforzando la cybersecurity dell’organizzazione.
Docker Vulnerability Authorization Plugin Cybersecurity Risks
SECPULSE SECPULSE
SOC Detection Lead
← Back to news