Ciberseguridad - Insights, Ciberseguridad - Noticias

Vulnerabilidad crítica en Docker Desktop permite el control del host

Posted on by Karmina Clemente
26
Ago

Se ha descubierto una grave vulnerabilidad en Docker Desktop que permite a los atacantes controlar contenedores, acceder al sistema de archivos del host y escalar privilegios hasta nivel de administrador.

Sobre la vulnerabilidad

Identificada como CVE-2025-9074 con una puntuación CVSS de 9.3, esta falla es un problema de escape de contenedor que afecta tanto las versiones de Windows como macOS de Docker Desktop.

Según el aviso de Docker, un contenedor malicioso podría interactuar con el Docker Engine para iniciar contenedores adicionales sin necesidad de montar el socket de Docker, lo que podría otorgar acceso no autorizado a los archivos del sistema host.

Esta vulnerabilidad puede ser explotada independientemente de si la Aislación Mejorada de Contenedores (ECI) está activada. Docker solucionó el fallo en la versión 4.44.3.

Cómo funciona el ataque

El investigador de seguridad Felix Boulet explica que en las versiones afectadas, cualquier contenedor puede acceder a la API HTTP interna de Docker sin autenticación. Esto permite a un atacante:

  1. Conectarse a la API mediante la dirección IP interna
  2. Crear e iniciar un contenedor privilegiado
  3. Montar el sistema de archivos del host, obteniendo control total

El hacker ético Philippe Dugre advierte que exponer el socket del Docker Engine a usuarios o código no confiable es extremadamente peligroso, ya que otorga control completo sobre todas las capacidades de Docker.

En Windows, los atacantes podrían explotar esta vulnerabilidad para montar el sistema de archivos del host y sobrescribir DLLs críticas del sistema, obteniendo privilegios administrativos. En macOS, la falla permite controlar otros contenedores o manipular la configuración de Docker Desktop. Sin embargo, macOS incluye una capa adicional de aislamiento que solicita permiso al usuario al montar directorios, y Docker Desktop no se ejecuta con privilegios de administrador por defecto.

Explotabilidad y mitigación

CVE-2025-9074 se considera fácil de explotar, siempre que el atacante tenga acceso a un Docker Engine en Windows o macOS. La explotación puede realizarse mediante:

  • Un contenedor malicioso
  • Un ataque de forgery de solicitudes del lado del servidor (SSRF) que redirige peticiones a través de una aplicación vulnerable

Se recomienda a las organizaciones que utilicen Docker Desktop en Windows o macOS actualizar inmediatamente a la versión 4.44.3 o superior y restringir correctamente el acceso al socket de Docker Engine para evitar accesos no autorizados.

Fuente: https://www.securityweek.com/docker-desktop-vulnerability-leads-to-host-compromise

Karmina Clemente