Docker Desktop ranjivost CVE-2025-9074

1. Sažetak
‍
U Docker Desktopu (Windows i macOS verzijama) otkrivena je kritična ranjivost, označena kao CVE-2025-9074, s procijenjenom težinom 9.3 (CVSS v4.0). Propust omogućuje lokalnim Linux kontejnerima da, bez autentikacije, pristupe Docker Engine API-ju putem zadane podmreže (najčešće na adresi 192.168.65.7:2375).

Napadači mogu koristiti taj pristup za pokretanje novih kontejnera, upravljanje postojećima, preuzimanje korisničkih datoteka ili čak montiranje cijelog host diska, što može rezultirati potpunom kompromitacijom sustava. Docker je hitno objavio zakrpu kroz verziju 4.44.3 aplikacije. Zaštita poput Enhanced Container Isolation (ECI) nije bila učinkovita protiv ove ranjivosti.

2. Detalji
‍
Ranjivost CVE-2025-9074 proizlazi iz načina na koji Docker Desktop postavlja i izlaže Docker Engine API unutar virtualiziranog okruženja na Windows i macOS sustavima. Po zadanim postavkama, API je dostupan putem lokalne mrežne adrese (npr. 192.168.65.7:2375), a pristup mu nije zaštićen autentikacijom. To znači da svaki Linux kontejner koji se izvršava unutar Docker Desktop okruženja može neograničeno pristupiti API-ju i izdavati naredbe kao da se radi o ovlaštenom korisniku.

Eksploatacija ranjivosti omogućuje napadaču u kompromitiranom kontejneru da:
‍
• stvara nove kontejnere s bilo kojim parametrima i privilegijama,
• zaustavlja, mijenja ili briše postojeće kontejnere,
• montira direktorije s host sustava unutar kontejnera, uključujući C: disk na Windowsu, čime dobiva pristup svim korisničkim datotekama i potencijalno administratorskim ovlastima,
• pokreće proizvoljne procese i izvršava kôd na hostu preko mehanizama Docker API-ja.

Iako Docker Desktop uključuje opcionalnu zaštitu poznatu kao Enhanced Container Isolation (ECI), pokazalo se da ona ne sprječava iskorištavanje ove ranjivosti. Time je potvrđeno da se napadači mogu kretati izvan granica kontejnera i kompromitirati cijeli host sustav bez obzira na aktivirane dodatne sigurnosne opcije.

Na Windows okruženjima, posljedice su posebno ozbiljne jer napadač može montirati cijeli disk i preuzeti potpunu kontrolu nad sustavom. Na macOS sustavima rizik je nešto ublažen dodatnim sigurnosnim slojevima operacijskog sustava, ali i dalje postoji mogućnost kompromitacije korisničkih datoteka i izvođenja koda kroz privilegiran pristup API-ju.

Zbog široke upotrebe Docker Desktopa među developerima i timovima za DevOps, ranjivost predstavlja ozbiljan rizik jer omogućuje prelazak iz kompromitiranog kontejnera do kompromitacije cijelog hosta, što napadačima otvara put prema internim mrežama, tajnim podacima i daljnjoj eskalaciji.

3. Preporuke
‍
Za zaštitu od ove vrste napada preporučuje se:
‍
• Ažurirati Docker Desktop na verziju 4.44.3 ili noviju, čime se zakrpa ranjivost.
• Ne oslanjati se na ECI; bez zakrpe, sistem i dalje ostaje ranjiv.
• Onemogućiti dostupnost Docker Engine API-ja na mreži, posebno unutar podmreže podrazumijevanih Docker postavki.
• Nadzor administracije i logova, pratiti neautorizirane API pozive ili pokušaje kreiranja/nadzora kontejnera.

4. Reference
‍
• https://nvd.nist.gov/vuln/detail/CVE-2025-9074
• https://docs.docker.com/desktop/release-notes/#4443
• https://www.bleepingcomputer.com/news/security/critical-docker-desktop-flaw-lets-attackers-hijack-windows-hosts/

‍