Acceso no autenticado a la API de Docker Engine
1. Mecanismo de la Vulnerabilidad
- Acceso no autenticado a la API de Docker Engine:
La vulnerabilidad permite a contenedores maliciosos acceder a la API de Docker Engine a través de la dirección IP192.168.65.7:2375sin requerir autenticación. Esto ocurre debido a una configuración insegura en la red interna de Docker, donde el socket TCP de la API está expuesto dentro de la subred Docker sin controles de acceso. - Circunstancias de explotación:
- Enhanced Container Isolation (ECI): No mitiga la vulnerabilidad, incluso si está activado.
- Configuración de exposición del daemon: La opción "Expose daemon on tcp://localhost:2375 without TLS" no es un factor requerido para la explotación.
- Vector de ataque:
Un atacante puede usar una página HTML maliciosa o un contenedor comprometido para enviar solicitudes HTTP POST a la API y ejecutar comandos privilegiados, como montar volúmenes del sistema host o crear nuevos contenedores.
2. Productos Afectados
| Producto | Versiones Vulnerables | Versión Parcheada |
|---|---|---|
| Docker Desktop (Windows) | < 4.44.3 | 4.44.3 |
| Docker Desktop (macOS) | < 4.44.3 | 4.44.3 |
| Docker Desktop (Linux) | No afectado | - |
| Nota: Linux no está afectado porque usa un named pipe en lugar de un socket TCP para la API de Docker. |
3. Impacto y Riesgos
- Ejecución de comandos privilegiados:
Un atacante puede controlar contenedores, crear nuevos ones, montar volúmenes y acceder a archivos del sistema host. - Escape de contenedor (Container Escape):
- Windows: Compromete todo el sistema host al montar la unidad
C:\y sobrescribir DLLs del sistema. - macOS: Limitado por los permisos del sistema, pero aún permite modificar configuraciones de Docker y crear backdoors.
- Windows: Compromete todo el sistema host al montar la unidad
- Explotación remota mediante SSRF:
Si una aplicación web dentro de un contenedor es vulnerable a Server-Side Request Forgery (SSRF), un atacante remoto puede explotar CVE-2025-9074 sin acceso directo al contenedor.
4. Acciones Recomendadas
- Actualización inmediata:
- Descargar la versión 4.44.3 desde Docker Official.
- Verificar la versión en Docker Desktop: Settings → About → Version.
- Mitigaciones temporales (si no es posible actualizar):
- Restringir acceso a la API:
Usar reglas de firewall para bloquear el puerto2375en la red interna. - Evitar contenedores no confiables:
No ejecutar imágenes de fuentes no verificadas.
- Restringir acceso a la API:
- 📊 5. Estadísticas Clave
- CVSS v4.0: 9.3 (Crítico).
- Explotación conocida: PoC público disponible.
- Impacto potencial:
- Windows: Compromiso total del host.
- macOS: Acceso limitado pero riesgo de backdoors.
🔗 6. Recursos Adicionales
- Boletín oficial de Docker (CVE-2025-9074).
- Análisis técnico detallado (The Hacker News).
- Guía de actualización para empresas.