✅ 보고서 제목: Docker Desktop 취약점 보고서 (CVE-2025-9074)

✅ 보고서 요약:

- 2025년 8월 20일, Docker Desktop의 취약점인 CVE-2025-9074이 긴급하게 패치되었습니다.

- 해당 취약점은 4.44.3 버전 미만의 제품과 Windows 및 MacOS에서 취약한 것으로 밝혀졌습니다.

- 2025년 8월 20일, CVSS4.0 기준, 9.3의 CRITICAL 취약점으로 발표되었고 패치가 진행되었습니다.

- 해당 취약점은 Docker Desktop에서 Docker Engine API가 컨테이너 내부 네트워크에서 인증 없이 접근 함에 따라 발생하는 Container escape 취약점입니다.

- Docker Engine API의 /containers/create 및 /containers/{id}/start 함수(엔드포인트)에 특정 디렉토리를 바인드 마운트 하는 설정이 포함되도록 페이로드를 전송합니다.

- 최상위 디렉토리 등을 마운트 하게 되면, 모든 시스템 파일에 대한 접근 권한을 획득할 수 있습니다.

- 공격자는 취약점을 악용하기 위해 컨테이너 내부에서 Docker Engine API에 직접 접근할 수 있습니다.

- 해당 API 엔드포인트는 기본적으로 http://192.168.65.7:2375이며, 별도의 인증 과정 없이 접근 가능합니다.

- 공격은 컨테이너 내에서 직접 악성 코드를 실행하는 방식 외에, 내부 웹 애플리케이션의 SSRF(Server-Side Request Forgery) 취약점을 통해 간접적으로도 악용될 수 있습니다.

- 이러한 간접 공격 경로는 공격자가 컨테이너 내부에서 직접 코드 실행 권한을 확보하지 못하더라도 공격을 진행할 수 있게 함으로써, 공격 시나리오의 범위를 크게 확장시키는 요인입니다.

- 공격 성공 시 발생 가능한 결과는 다음과 같습니다.

- 호스트 시스템의 파일 시스템에 대한 무단 접근 및 조작 가능.

- Windows 환경에서는 시스템 DLL을 덮어쓰거나 수정하여 관리자 권한 상승 가능.

- macOS 환경에서는 호스트의 권한 상승은 어렵지만, Docker 애플리케이션 자체를 제어하거나 Docker의 구성 파일을 수정하여 백도어 설치 가능.

- 공격자는 기존 컨테이너를 제어하거나 새로운 컨테이너를 생성, 이미지를 관리하는 등 Docker 환경에 대한 완전한 통제권을 획득할 수 있음.

- 알려진 악용 사례는 확인되지 않았으나 해당 취약점으로 인해 호스트의 PC가 침해 받을 수 있으므로 사용자들에게 위협 탐지를 권장합니다.

- 위협탐지 룰을 업데이트 하고 지속적인 모니터링 및 최신 버전의 패치를 권장합니다.

- 보안 업데이트 된 버전을 다운로드하여 설치를 진행합니다.

- 4.44.3버전 이상

- 패치가 불가능할 경우, 하단의 조치 방안에 따라 조치할 것을 권장합니다.

- 192.168.65.7:2375로 향하는 비정상적인 TCP 연결 시도를 탐지합니다.

- Binds 옵션등 특이한 구성을 포함하여 호스트 디렉토리를 마운트하는 행위를 탐지합니다.

- 시스템 파일의 수정 등, 비정상 적인 파일 접근 탐지가 필요합니다.

-'—privileged' 옵션의 사용을 지양합니다.

🧑‍💻 보고서 작성자: S2W TALON

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며 S2W의 QUAXAR 플랫폼 구독 시 전문으로 제공됩니다.