Експерти з кібербезпеки виявили критичну вразливість у Docker Desktop, яка створює серйозні ризики для мільйонів користувачів Windows та macOS по всьому світу. Проблема отримала ідентифікатор CVE-2025-9074 та максимальний рівень критичності, що свідчить про надзвичайну небезпеку для корпоративних та приватних середовищ.
Аналіз уразливості CVE-2025-9074: технічні характеристики загрози
Виявлена проблема безпеки отримала оцінку 9,3 бали за шкалою CVSS, що класифікує її як критичну загрозу найвищого рівня. В основі уразливості лежить атака типу Server-Side Request Forgery (SSRF), яка дозволяє зловмисникам обходити захисні механізми Enhanced Container Isolation.
Найбільш тривожним аспектом є те, що навіть активована функція Enhanced Container Isolation, розроблена для забезпечення додаткового рівня ізоляції контейнерів, не може протистояти цьому типу експлойтів. Це ставить під сумнів ефективність існуючих механізмів захисту контейнерних платформ.
Механізм експлуатації: як працює атака
Дослідник безпеки Феликс Буле провів детальний аналіз механізму експлуатації уразливості. Атакуючі можуть отримати несанкціонований доступ до Docker Engine API через внутрішню адресу http://192.168.65[.]7:2375/ з будь-якого запущеного контейнера без потреби в автентифікації.
Практичні тести продемонстрували можливість створення та запуску нового контейнера, здатного змонтувати системний диск до файлової системи контейнера, використовуючи лише два HTTP POST-запити. Критично важливим є факт, що для успішної експлуатації не потрібні підвищені привілеї всередині контейнера.
Платформо-специфічні наслідки атак
Аналіз впливу уразливості виявив суттєві відмінності між операційними системами. У Windows-середовищі, де Docker Engine функціонує через підсистему WSL2, зловмисники отримують можливість монтування всієї файлової системи з адміністративними правами, що призводить до повної компрометації хост-системи.
У системах macOS вбудовані захисні механізми операційної системи значно обмежують потенційні збитки. Спроби монтування користувацьких директорій ініціюють системні запити дозволів, а Docker Desktop за замовчуванням функціонує без адміністративних привілеїв, що створює додатковий бар’єр для атакуючих.
Заходи з усунення та рекомендації експертів
Команда розробників Docker швидко відреагувала на виявлення критичної проблеми та випустила патч у версії 4.44.3. Фахівці з кібербезпеки наполегливо рекомендують всім користувачам негайно оновити Docker Desktop до найновішої версії для усунення уразливості.
Незважаючи на випуск виправлення, експерти підкреслюють необхідність комплексного підходу до забезпечення безпеки контейнерних середовищ. Навіть у відносно захищених системах macOS залишається ризик створення бекдорів або несанкціонованої модифікації конфігурацій системи.
Цей інцидент яскраво демонструє критичну важливість постійного моніторингу безпеки контейнерних платформ та своєчасного застосування оновлень. Організаціям слід переглянути свої політики безпеки контейнерів, впровадити багаторівневі системи захисту та не покладатися виключно на вбудовані механізми ізоляції для забезпечення комплексної кібербезпеки.
