Чем опасен критический баг в Docker Desktop для Windows и macOS
Docker устранил критическую уязвимость в своей программе Docker Desktop для Windows и macOS. Эта уязвимость могла позволить злоумышленникам полностью захватить контроль над уязвимым компьютером, похитить конфиденциальные данные и выполнить множество других вредоносных действий. Проблема была классифицирована как "Server-Side Request Forgery" (SSRF) — это ситуация, когда можно отправлять запросы от имени сервера, получая доступ к тем данным, которые должен получать только сервер. По данным Национальной базы данных уязвимостей (NVD), из-за бага локальные Linux-контейнеры, работающие через Docker Desktop, могут получить прямой доступ к API Docker Engine с использованием внутренней подсети Docker.
Компания Docker разъяснила: если на компьютере запущен вредоносный контейнер, он может получить доступ к Docker Engine и запускать дополнительные контейнеры — даже без монтирования сокета Docker. Это может привести к несанкционированному доступу к пользовательским файлам на основной машине. Важно отметить, что даже функция Enhanced Container Isolation (ECI), предназначенная для повышения изоляции контейнеров, не защищает от этой уязвимости.
Уязвимость выявил исследователь безопасности Феликс Буле (Felix Boulet) и она получила номер CVE-2025-9074 с критическим рейтингом 9.3 из 10 по шкале опасности.
Исследователь Филипп Дюгрей (Philippe Dugre) уточнил, что уровень риска неравномерный для разных платформ — на Windows ситуация хуже, чем на macOS. Это связано с внутренними ограничениями macOS, которые не допускают подобного доступа. Дюгрей доказал, что в Windows из-за работы Docker Engine через подсистему WSL2 злоумышленник может получить админ-доступ ко всей файловой системе, прочитать любые файлы и даже заменить системные библиотеки DLL, фактически захватив управление системой. В macOS же Docker требует дополнительных разрешений и работает с меньшими правами, потому шанс атаки значительно ниже.
Уязвимость устранена в версии приложения Docker Desktop 4.44.3. Всем пользователям рекомендуется обновиться до этой версии как можно скорее.
Статья преподносит новость о критической уязвимости в Docker Desktop — популярном инструменте для запуска виртуальных контейнеров. Docker уверял, что его контейнеры изолированы, а Enhanced Container Isolation даёт дополнительную защиту. Но найденная уязвимость SSRF дала возможность вредоносным контейнерам напрямую обращаться к управляющему API Docker Engine через внутреннюю подсеть, даже без стандартного сокета. Как вы понимаете, дальше — весёлая жизнь. Злоумышленник может запускать новые контейнеры, читать файлы с главной системы, а на Windows дело и вовсе оборачивается полной потерей контроля — злоумышленник через Docker, работающий под WSL2, становится администратором, может заменить DLL и получить власть над всей машиной. MacOS несколько безопаснее: лишних прав Docker там не даётся, любые попытки доступа проходят через пользователя, вот и вся изоляция, спасибо Apple. Уязвимость обнаружил Felix Boulet, помог Philippe Dugre; рейтинг опасности — почти максимум (9.3 из 10). Docker исправил баг в версии 4.44.3 - и теперь советует всем срочно обновиться. Так что если вы верите в изолированные контейнеры, настройтесь на обратное. Это повод вспомнить: чудес в ИТ не существует, а patch now — не совет, а приказ. Саркастично и просто: если не обновляться, ждите танцев на граблях — ваши данные уже интересуют кого-то ещё.