Специалисты по информационной безопасности выявили серьезную уязвимость в популярной платформе контейнеризации Docker Desktop, которая затрагивает пользователей Windows и macOS. Проблема безопасности получила критический рейтинг и может привести к полной компрометации хост-системы.
Техническая характеристика уязвимости CVE-2025-9074
Обнаруженная уязвимость классифицирована как CVE-2025-9074 с критическим показателем 9,3 балла по шкале CVSS. Проблема представляет собой SSRF-атаку (Server-Side Request Forgery), которая позволяет злоумышленникам обходить механизмы защиты Enhanced Container Isolation (ECI).
Особую опасность представляет тот факт, что даже при активированной функции Enhanced Container Isolation, призванной обеспечить дополнительный уровень безопасности контейнеров, система остается уязвимой для данного типа атак.
Механизм эксплуатации и потенциальные последствия
Исследователь безопасности Феликс Буле детально проанализировал механизм эксплуатации уязвимости. Злоумышленники могут получить неавторизованный доступ к Docker Engine API через адрес http://192.168.65[.]7:2375/ изнутри любого запущенного контейнера без необходимости аутентификации.
Практическая демонстрация показала возможность создания и запуска нового контейнера, который способен привязать системный диск к файловой системе контейнера, используя всего два HTTP POST-запроса. Критически важно, что для успешной эксплуатации не требуются специальные привилегии внутри контейнера.
Различия в воздействии на операционные системы
Анализ экспертов выявил существенные различия в степени воздействия уязвимости на разные операционные системы. В среде Windows, где Docker Engine функционирует через WSL2, атакующие получают возможность монтирования всей файловой системы с административными привилегиями.
В системах macOS встроенные защитные механизмы операционной системы значительно ограничивают потенциальный ущерб. Попытки монтирования пользовательских директорий инициируют запрос разрешений, а приложение Docker Desktop по умолчанию не обладает административными привилегиями.
Меры по устранению и рекомендации по безопасности
Команда разработчиков Docker оперативно отреагировала на обнаружение критической уязвимости и выпустила исправление в версии 4.44.3. Всем пользователям настоятельно рекомендуется незамедлительно обновить Docker Desktop до последней версии.
Несмотря на исправление основной проблемы, специалисты подчеркивают необходимость комплексного подхода к безопасности контейнерных сред. Даже в относительно защищенных системах macOS сохраняется риск создания бэкдоров или несанкционированной модификации конфигураций.
Данный инцидент наглядно демонстрирует важность регулярного мониторинга безопасности контейнерных платформ и своевременного применения обновлений. Организациям следует пересмотреть свои политики безопасности контейнеров и убедиться в наличии дополнительных уровней защиты, не полагаясь исключительно на встроенные механизмы изоляции.
