Advisory

Waspada CVE-2025-9074: Kerentanan Kritis Container Escape pada Docker

August 29, 2025

 

Deskripsi

1

 

     
 

Docker telah merilis pembaruan keamanan pada tanggal 3 Juli 2025 yang terjadi pada Docker Desktop versi 4.44.3 untuk memperbaiki kerentanan kritis CVE-2025-9074 dengan skor CVSS v4.0: 9.3[2][3]. Kerentanan ini ditemukan oleh security researcher yang bernama Felix Boulet dan dianalisis lebih lanjut oleh PVOTAL Technologies researcher yang bernama Philippe Dugre (zer0x64).

Pada intinya, masalah ini terjadi karena kelalaian sederhana, yaitu API HTTP internal Docker dapat diakses dari kontainer mana pun tanpa autentikasi atau kontrol akses[1]. Kerentanan ini termasuk kategori container escape, di mana sebuah kontainer dapat keluar dari batas isolasi normalnya dan berinteraksi langsung dengan host. Dengan begitu, penyerang dapat mengontrol kontainer lain, membuat kontainer baru, manajemen images, dan lain – lain.

  
     

 

 

Metode Serangan

2

 

     
 
  1. Mengakses Docker Engine API  pada default alamat internal tcp://localhost:2375 dengan Linux container yang berjalan di local.
  2. Mengirimkan request ke endpoint /containers/create dengan payload JSON yang berisi konfigurasi berbahaya, misalnya melakukan bind-mount ke direktori host.
  3. Menjalankan kontainer yang baru dibuat dengan request ke endpoint /containers/{id}/start.
  4. Mengakses atau memodifikasi filesystem host melalui mount path yang sudah ditetapkan, termasuk membaca data sensitif atau menimpa file sistem penting.
  
     

 

 

Versi Terdampak

3

 

Produk yang Terdampak Versi yang terdampak Versi yang sudah diperbaiki
Docker Desktop (Windows/macOS) < 4.44.3 ≥ 4.44.3

 

 

 

Indicator of Compromise (IoC)

4

 

     
 
  1. Log API abnormal
    1. Aktivitas POST /containers/create dari dalam kontainer.
    2. Aktivitas POST /containers/{id}/start yang tidak dikenal.
  2. Kontainer abnormal
    1. Kontainer baru muncul dengan konfigurasi bind-mount ke host filesystem.
    2. Volume mount langsung ke C:\ (Windows) atau / (macOS).
  3. Perubahan host
    1. File konfigurasi Docker Desktop yang tiba-tiba berubah.
    2. Modifikasi file sistem penting (misalnya DLL di Windows) tanpa otorisasi.
 
     

 

 

Mitigasi

5

 

     
 
  1. Segera melakukan update pada Docker Desktop versi 4.44.3 atau yang lebih baru[3].
  2. Hindari menggunakan dan menjalankan *container image* dari sumber yang tidak terpercaya[3].
  3. Aktifkan audit log untuk memonitor pembuatan kontainer yang mencurigakan dan akses abnormal ke Engine API[3].
  4. Terapkan network segmentation untuk memisahkan akses internal sehingga kontainer tidak dapat langsung menjangkau Docker Engine API[3].
  
     

 

 

 

Referensi:

1. https://thehackernews.com/2025/08/docker-fixes-cve-2025-9074-critical.html
2. https://www.cve.org/CVERecord?id=CVE-2025-9074
3. https://medium.com/@Iampreth/docker-fixes-cve-2025-9074-critical-container-escape-vulnerability-cvss-9-3-885bd99feb95

Categories

Categories

Advisory
Awareness

Recent posts

Recent posts