Una vulnerabilidad crítica (CVE-2025-9074, CVSS 9.3) en Docker Desktop para Windows y macOS permite a contenedores maliciosos comprometer el sistema host, incluso con el Aislamiento Mejorado de Contenedores (ECI) activado. El fallo, descubierto por el investigador Felix Boulet, explota una falsificación de solicitud del lado del servidor (SSRF) para acceder a la API de Docker Engine sin autenticación.
🔍 ¿Cómo funciona el ataque?
-
Vector: Acceso no autenticado a
http://192.168.65.7:2375/desde cualquier contenedor. -
Explotación:
-
Windows: Montaje de la unidad
C:\del host para robar/sobrescribir archivos (incluyendo DLLs del sistema). -
macOS: Limitado por permisos del SO, pero aún permite modificar configuraciones de Docker.
-
-
PoC: Tan simple como 3 líneas de código Python (sin necesidad de permisos dentro del contenedor).
⚠️ Impacto por sistema operativo
| Sistema | Riesgo |
|---|---|
| Windows | Crítico: Acceso administrativo total al host via WSL2. |
| macOS | Moderado: Aislamiento del SO previene acceso total, pero permite puertas traseras. |
🛡️ Mitigación y parche
-
Versión parcheada: Docker Desktop 4.44.3 (lanzada la semana pasada).
-
Acción inmediata: Actualizar desde Docker Desktop.
-
Recomendación:
-
Evitar ejecutar contenedores no confiables.
-
Revisar logs de Docker en busca de acceso no autorizado a la API.
-
🔗 Contexto técnico
-
No afecta a Linux: Solo Docker Desktop en Windows/macOS.
-
ECI inefectivo: La protección de aislamiento no mitiga este fallo.
¿Usas Docker Desktop? ¡Actualiza inmediatamente y comparte esta alerta con tu equipo!
Dato clave: Esta vulnerabilidad recuerda la importancia de escaneo continuo de imágenes y políticas de ejecución restrictivas. 🚨
