Vulnerabilidad crítica CVE-2025-9074 en Docker Desktop expone Windows y macOS

Una nueva vulnerabilidad crítica en Docker Desktop, identificada como CVE-2025-9074, ha encendido las alarmas en la comunidad de ciberseguridad. El fallo afecta a las versiones de Windows y macOS, permitiendo que un atacante ejecute un contenedor malicioso capaz de comprometer directamente el sistema host, incluso si la función de aislamiento de contenedores mejorado (ECI, por sus siglas en inglés) está activada.

Este problema, catalogado como una falsificación de solicitudes del lado del servidor (SSRF), recibió una puntuación de gravedad crítica de 9.3, lo que lo convierte en una de las amenazas más importantes descubiertas recientemente en entornos de virtualización de contenedores.

¿En qué consiste la vulnerabilidad CVE-2025-9074?

De acuerdo con el boletín oficial de Docker, un contenedor malicioso en ejecución dentro de Docker Desktop podría aprovechar el fallo para acceder al motor de Docker sin necesidad de montar el socket de Docker de manera explícita.

• Esto significa que un atacante tendría la capacidad de:
• Lanzar nuevos contenedores maliciosos sin autorización.
• Acceder a los archivos del usuario en el host comprometido.
• Eludir las protecciones de aislamiento ECI, que normalmente deberían ofrecer una capa extra de seguridad.

El investigador de seguridad Felix Boulet, quien descubrió el fallo, demostró que era posible acceder a la API de Docker Engine sin autenticación en la dirección You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login desde cualquier contenedor activo.

Boulet también mostró un exploit de prueba de concepto (PoC) que permitía montar la unidad C: completa de Windows dentro del contenedor con solo dos solicitudes HTTP POST usando wget. Lo más alarmante: el exploit no requería privilegios de ejecución de código dentro del contenedor, lo que lo hace extremadamente fácil de aprovechar.

Impacto en Windows y macOS

El investigador Philippe Dugre, ingeniero de DevSecOps en Pvotal Technologies y creador de desafíos para la conferencia de ciberseguridad NorthSec, confirmó que la vulnerabilidad afecta tanto a Docker Desktop en Windows como en macOS, aunque el nivel de riesgo difiere según el sistema operativo.

En Windows

El impacto es mucho más severo. Debido a que Docker Desktop funciona a través de WSL2 (Windows Subsystem for Linux 2), un atacante podría:

• Montar como administrador todo el sistema de archivos del host.
• Leer archivos sensibles y confidenciales.
• Sobrescribir DLLs del sistema para escalar privilegios y obtener control total como administrador del sistema operativo.

En otras palabras, en Windows, la vulnerabilidad puede abrir la puerta a un compromiso completo del host.

En macOS

En el caso de macOS, aunque Docker Desktop también es vulnerable, el impacto es más limitado debido a las restricciones de seguridad nativas del sistema operativo.

• Si un atacante intenta montar un directorio de usuario, macOS solicita permiso al usuario.
• Docker Desktop no tiene acceso por defecto a todo el sistema de archivos ni se ejecuta con privilegios administrativos.

Sin embargo, Dugre advierte que esto no elimina el riesgo. Un atacante podría insertar puertas traseras (backdoors), alterar configuraciones o manipular contenedores maliciosos sin intervención directa del usuario.

Facilidad de explotación

Uno de los aspectos más preocupantes de CVE-2025-9074 es su baja complejidad de explotación. Según Dugre, el exploit funcional consta de apenas tres líneas de código en Python, lo que significa que cualquier atacante con conocimientos básicos podría aprovechar la vulnerabilidad para comprometer un host.

Este factor aumenta de manera considerable la urgencia de actualizar, ya que la existencia de un PoC público siempre acelera la aparición de ataques en la vida real.

Respuesta de Docker y solución disponible

La vulnerabilidad fue reportada de manera responsable a Docker, quien reaccionó rápidamente y lanzó una actualización de seguridad en la versión Docker Desktop 4.44.3, publicada la semana pasada.

Docker recomienda a todos los usuarios:

• Actualizar inmediatamente a la versión 4.44.3 o superior.
• Revisar sus configuraciones de seguridad en entornos de producción.
• Evitar ejecutar contenedores de fuentes no confiables.
• Aplicar políticas de control de acceso estricto a entornos de Docker Desktop.

El parche asegura que la API de Docker Engine ya no esté expuesta sin autenticación desde dentro de un contenedor, mitigando así el principal vector de ataque de esta vulnerabilidad.

Lecciones de seguridad para desarrolladores y empresas

Este incidente pone en evidencia la importancia de mantener siempre actualizadas las herramientas de desarrollo y virtualización, especialmente aquellas tan críticas como Docker, ampliamente usado en empresas y proyectos de software a nivel global.

Algunas lecciones clave que deja CVE-2025-9074 son:

• La seguridad por defecto no siempre es suficiente: incluso funciones como el aislamiento de contenedores (ECI) pueden fallar frente a nuevas técnicas de ataque.
• La rapidez en la aplicación de parches es fundamental: cuanto más tiempo se tarde en actualizar, mayor es el riesgo de explotación.
• Windows es más vulnerable en entornos de virtualización: las capas adicionales como WSL2 pueden abrir vectores de ataque más peligrosos que en macOS o Linux.
• La divulgación responsable salva tiempo y recursos: el reporte de Boulet permitió a Docker reaccionar antes de que la vulnerabilidad fuera explotada masivamente.

En fin, la vulnerabilidad CVE-2025-9074 en Docker Desktop para Windows y macOS es un recordatorio de que incluso las herramientas más confiables pueden contener fallos críticos de seguridad. Con un impacto severo en Windows y menor, pero no inexistente, en macOS, este fallo debe ser atendido con máxima prioridad por desarrolladores, administradores de sistemas y empresas que utilicen Docker en sus flujos de trabajo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login