Docker Desktop kullanıcılarını etkileyen ve CVSS skoru 9.3 olan kritik bir konteyner kaçış açığı CVE-2025-9074, 4.44.3 sürümüyle giderildi. Bu zafiyet, kötü niyetli bir konteynerin Docker Engine API’sine kimlik doğrulama olmadan erişebilmesine olanak tanıyor ve Docker soketine doğrudan bağlanmadan yeni konteynerler başlatılmasına izin veriyor.
Açığın Teknik Detayları ve Riskleri
Güvenlik araştırmacısı Felix Boulet’in analizine göre, zafiyet Docker Engine API’sinin 192.168.65.7:2375 adresinde herhangi bir erişim kontrolü olmadan kullanılabilmesinden kaynaklanıyor. Bu durum, ayrıcalıklı bir konteynerin ana sistemdeki C:\ sürücüsünü bağlayarak tam dosya sistemi erişimi elde etmesine yol açıyor. PoC saldırısında, konteyner oluşturma ve başlatma API çağrılarıyla ana sistem dosyalarına okuma ve yazma işlemleri yapılabiliyor.
Platform Bazlı Farklılıklar ve İzolasyon Katmanları
Philippe Dugre’nin değerlendirmesine göre, Windows ortamında bu açık, saldırganın sistem DLL dosyalarını değiştirerek yönetici yetkisi kazanmasına imkan tanıyor. Buna karşın macOS’ta Docker Desktop, kullanıcı dizinine erişim için izin talep eden bir izolasyon katmanına sahip ve varsayılan olarak dosya sisteminin geri kalanına erişim kısıtlanmış durumda. Linux sürümü ise Docker Engine API’sine TCP soketi yerine adlandırılmış boru (named pipe) üzerinden eriştiği için bu zafiyetten etkilenmiyor.
Alternatif Saldırı Yöntemleri ve Önlemler
Zafiyetin sömürülmesi için en yaygın yol, saldırgan kontrolündeki kötü niyetli konteynerler olsa da, sunucu tarafı istek sahteciliği (SSRF) açığı da Docker soketine erişim sağlamak için kullanılabilir. SSRF üzerinden yapılan isteklerin türü, saldırının başarısını etkileyebiliyor. Uzmanlar, Docker Desktop kullanıcılarının en güncel sürüme geçmelerini ve konteyner izolasyon politikalarını gözden geçirmelerini öneriyor.