Docker krpa sigurnosne ranjivosti koje prijete korisnicima Windowsa i macOS-a

· Sanja Ledinek

Docker krpa sigurnosne ranjivosti koje prijete korisnicima Windowsa i macOS-a

Docker je upravo objavio hitnu zakrpu za sigurnosnu ranjivost u aplikaciji Docker Desktop za Windows i macOS.  Ranjivost, kodnog naziva CVE-2025-9074 s CVSS ocjenom 9.3, mogla bi omogućiti napadaču da preuzme kontrolu nad cijelim korisnikovim računalom. Ovo je posebno značajan incident jer su spremnici dizajnirani za izolaciju i zaštitu sustava, ali čak i mali nemar može ih pretvoriti u “prolaz” koji pomaže lošim akterima da preuzmu kontrolu.

Ranjivost je otkrio sigurnosni istraživač Felix Boulet. Otkrio je da se svaki spremnik koji radi na Docker Desktopu može povezati s Docker Engine API-jem na 192.168.65.7:2375 bez ikakve provjere autentičnosti ili kontrole pristupa. Jednostavno rečeno, ovo je kao da su stražnja vrata kuće uvijek otključana, svatko tko uđe može kontrolirati cijeli sustav.

Kako funkcionira?

U Proof-of-Concept (PoC) testiranju moguć je samo jedan web zahtjev (HTTP zahtjev) iz spremnika:

  • Pošaljite naredbu za stvaranje novog spremnika (/containers/create) i zatražite da se cijeli C: pogon glavnog računala priključi na spremnik.
  • Pošaljite naredbu za pokretanje spremnika (/containers/{id}/start) na izvršenje.
  • Napadač tada može čitati/pisati bilo koju datoteku na stvarnom računalu, uključujući osjetljive datoteke, osobne podatke ili čak uređivati sistemske datoteke kako bi eskalirao privilegije.

Razlika između Windowsa i macOS-a

  • U sustavu Windows: ANM stručnjaci ističu da napadači mogu priložiti cijeli datotečni sustav administratorskim ovlastima, čitati sve podatke, pa čak i prebrisati DLL datoteke kako bi oteli administratorske ovlasti. To dovodi korisnike Windowsa u ozbiljniji rizik.
  • U sustavu macOS: Sigurnosni mehanizam Docker radne površine zahtijeva dopuštenje korisnika prilikom pokušaja pristupa privatnoj mapi. Docker također ne radi sa zadanim administratorskim dozvolama. Međutim, napadač i dalje može preuzeti potpunu kontrolu nad Dockerom i “ugraditi stražnja vrata” u konfiguraciju aplikacije bez pristanka korisnika.
  • Linux verzija Dockera ne koristi TCP utičnice za komunikaciju, već se oslanja na imenovane cijevi u datotečnom sustavu, tako da ova ranjivost ne postoji. To znači da ranjivost utječe samo na Docker Desktop (Windows i macOS).

Korisnici Docker Desktopa u sustavu Windows izloženi su najvećem riziku, dok je macOS sigurniji, ali još uvijek ne može biti subjektivan.

Docker je objavio zakrpu u verziji 4.44.3 i preporučuju:

  • Odmah ažurirajte Docker Desktop na najnoviju verziju.
  • Izbjegavajte pokretanje kontejnera nepoznatog podrijetla s interneta ili nepouzdanih skladišta.
  • Ograničite dozvole spremnika, nemojte dodjeljivati visoke privilegije ako vam zapravo nisu potrebne.
  • Pratite zapisnike i ponašanje spremnika kako biste otkrili neuobičajenu aktivnost.
  • Ranjivost CVE-2025-9074 podsjetnik je da čak i dobro poznate sigurnosne tehnologije imaju katastrofalne ranjivosti.

S obzirom na “bezgraničnu” prirodu kibernetičkog kriminala, samo jedan zlonamjerni spremnik dovoljan je da osobno računalo pretvori u odskočnu dasku za šire napade. Pravovremena ažuriranja softvera i oprez sa svim izvorima spremnika ključni suza zaštitu sigurnosti pojedinaca i tvrtki.

DRUGE NOVOSTI