Docker Desktop’da xavfli zaiflik: Windows tizimlari to‘liq buzilishi mumkin

2025-yil 21-avgust kuni Docker Desktop’ning Windows uchun mo‘ljallangan versiyasida jiddiy zaiflik aniqlandi. CVE-2025-9074 raqami bilan ro‘yxatga olingan ushbu zaiflikni xavfsizlik tadqiqotchisi Felix Boulet aniqlagan bo‘lib, u Docker Desktop 4.44.3 versiyasigacha bo‘lgan barcha talqinlarga ta’sir qiladi. Muammo oddiy Server-Side Request Forgery (SSRF) hujumidan foydalangan holda butun xost tizimini to‘liq boshqarib olish imkonini beradi.

Zaiflikning Asosiy Xususiyatlari

  • Docker Desktop ichidagi konteynerlar autentifikatsiyasiz API orqali tizimga to‘liq kirish imkoniga ega bo‘ladi.
  • Faqatgina ikki oddiy HTTP so‘rovi orqali hujumchi imtiyozli (privileged) konteyner yaratib, xostning barcha fayl tizimiga kira oladi.
  • Ushbu zaiflik Windows bilan bir qatorda macOS platformalarida ham mavjudligi tasdiqlangan.

Zaiflik Qanday Ishlaydi?

Docker Desktop o‘zining ichki HTTP API’ni http://192.168.65.7:2375/ manzilida hech qanday autentifikatsiyasiz ishlashga qo‘ygan. Har qanday konteyner ushbu API orqali:

  1. /containers/create endpoint’iga JSON so‘rov yuborib, privileged konteyner yaratadi va xostning C: diskini konteyner ichiga bog‘laydi.
  2. /containers/{id}/start so‘rovi orqali konteynerni ishga tushirib, tizimda administrator darajasidagi buyruqlarni bajaradi.

Ushbu jarayon murakkab ekspluatatsiya zanjiri yoki xotira buzilish texnikalarini talab qilmaydi – asosiy HTTP so‘rovlarni yuborishning o‘zi kifoya. Bundan tashqari, zaiflikni SSRF hujumlari orqali ham ishlatish mumkin, ya’ni hujumchiga konteyner ichida to‘g‘ridan-to‘g‘ri kod bajarish imkoni ham shart emas – oddiygina veb-xizmat orqali HTTP so‘rovi yuborilishi kifoya.

Xavf Darajasi va Ta’siri

  • Ta’sir qilingan mahsulotlar: Docker Desktop for Windows (<4.44.3), Docker Desktop for macOS (o‘xshash zaiflik).
  • Xavf darajasi: Butun xost tizimining to‘liq qo‘lga olinishi.
  • Shartlar: Har qanday konteynerga kirish huquqi va tarmoq orqali API manziliga ulanish imkoniyati.

Himoyalanish Yo‘llari

Docker ushbu zaiflik aniqlanishi bilanoq tezkor choralar ko‘rib, 4.44.3 versiyasini chiqardi. Yangi talqinda ichki API endpoint’lari uchun autentifikatsiya va tarmoq segmentatsiyasi joriy etildi. Foydalanuvchilar zudlik bilan Docker Desktop’ni yangilashlari shart, chunki zaif versiyalar uchun hech qanday muqobil himoya chorasi mavjud emas.

Xavfsizlik bo‘yicha tavsiyalar:

  • Docker Desktop’ni darhol 4.44.3 yoki undan keyingi versiyaga yangilang.
  • Konteyner muhitlarida tarmoq segmentatsiyasini kuchaytiring.
  • Autentifikatsiya va ruxsat boshqaruvini qayta ko‘rib chiqing.
  • Konteyner muhitlarida ishlayotgan veb-xizmatlarni SSRF hujumlariga qarshi himoyalang.

Ushbu hodisa konteyner texnologiyalaridagi xavfsizlikning qanchalik muhim ekanligini yana bir bor isbotladi. Birgina zaif konfiguratsiya butun tizimning himoyasini izdan chiqarishi mumkin.