it only took 2 lines of code...

Low Level

29 Aug 202509:20

Summary

TLDRВ этом видео обсуждается уязвимость в Docker Desktop, позволяющая злоумышленникам выйти из изолированного контейнера и получить доступ к хостовой системе Windows. Уязвимость возникла из-за неправильно настроенного API, который позволяет контейнерам выполнять привилегированные операции. Исследователь безопасности, Феликс, случайно обнаружил эту проблему, выполняя сканирование сетевых портов. В видео объясняется, как можно использовать уязвимость для получения доступа к файловой системе хоста и каким образом можно защититься, используя минимизированные образы контейнеров от ChainGuard.

Takeaways

🐳 Docker позволяет запускать контейнеры, которые изолируют код и создают иллюзию полной операционной системы без необходимости использовать полноценные виртуальные машины.
🔒 Контейнеры обеспечивают изоляцию не только друг от друга, но и от операционной системы, снижая риски вмешательства в системные файлы.
⚠️ Уязвимость CVE-20259074 обнаружена не в Docker как технологии, а в реализации Docker Desktop, которая открывает API для контейнеров без аутентификации.
💻 Эксплуатация уязвимости позволяет контейнеру монтировать диск C Windows-хоста и выполнять произвольные операции с файлами, обходя изоляцию.
🛠 Пример атаки: из контейнера можно послать HTTP-запрос к API Docker Desktop и создать новый контейнер с доступом к файлам хоста.
🎯 Уязвимость затрагивает Docker Desktop на Windows и частично на Mac OS, но не на обычных Linux-системах.
🔍 Исследование безопасности часто начинается с простого изучения доступных сетевых сервисов и API, как это сделал исследователь Felix.
🧩 Важное правило безопасности: каждый endpoint контрольной плоскости, даже внутренний, должен требовать аутентификацию.
🖥 Использование минимальных образов контейнеров с низким количеством CVE, таких как ChainGuard, снижает риск уязвимостей.
📚 Новички в области безопасности могут изучать систему, искать аномалии и ошибки, чтобы находить баги и улучшать безопасность приложений.

Q & A

Что такое Docker image и чем он отличается от виртуальной машины?
-Docker image — это контейнер, который содержит код и минимальный набор компонентов операционной системы для его выполнения. В отличие от виртуальной машины, он не включает полный ОС-блок, что делает его легче и быстрее в развертывании.
Что такое контейнеризация и какие преимущества она дает?
-Контейнеризация позволяет запускать приложения в изолированной среде (контейнере), предоставляя одинаковые условия выполнения на всех системах. Это облегчает разработку, тестирование и деплой, а также обеспечивает изоляцию процессов и файловой системы.
В чем суть уязвимости CVE-2025-9074 в Docker Desktop?
-Уязвимость позволяет контейнеру обойти изоляцию и получить доступ к файловой системе хоста, включая диск C на Windows. Проблема возникает из-за открытого API Docker Desktop без аутентификации.
Какие платформы затронуты этой уязвимостью?
-Основная проблема возникает на Windows и частично на macOS. Версии Linux Docker Desktop не затронуты.
Как исследователь Феликс обнаружил эту уязвимость?
-Феликс случайно наткнулся на открытый API при сканировании сетей изнутри контейнера и, экспериментируя с запросами, обнаружил возможность создавать контейнеры с доступом к файловой системе хоста.
Какие действия может выполнить злоумышленник, используя эту уязвимость?
-Злоумышленник может монтировать диск C в контейнер, читать и записывать файлы, потенциально удалять или изменять данные, запускать вредоносный код.
Как можно снизить риски от подобных уязвимостей?
-Необходимо использовать аутентификацию для всех API-контроллеров, тщательно проверять загружаемые образы и использовать минимизированные, безопасные контейнерные образы, такие как предоставляемые ChainGuard.
Что делает ChainGuard и чем он полезен?
-ChainGuard предоставляет минимальные Docker образы с низким числом CVE и быстродействующим SLA по исправлению уязвимостей. Это уменьшает размер образа и повышает безопасность приложений.
Почему уязвимость не считается проблемой самой технологии Docker?
-Проблема не в Docker как технологии контейнеризации, а в конкретной реализации Docker Desktop и открытом API без аутентификации, что создает возможность обхода изоляции.
Какие уроки можно извлечь для начинающих исследователей безопасности?
-Начинающим исследователям стоит обращать внимание на необычные или подозрительные элементы в среде, экспериментировать и проверять гипотезы, как это сделал Феликс. Иногда ошибки появляются из-за неожиданных предположений о доверии к компонентам.
Что такое namespace в Linux и как он помогает контейнерам?
-Namespace в Linux создает изолированные пространства для процессов, файловой системы и пользователей, позволяя контейнеру видеть виртуальную среду, будто он управляет всей системой, хотя на самом деле он ограничен.
Почему Windows версия Docker Desktop более уязвима, чем macOS?
-На Windows открытый API позволяет полностью монтировать диск C и получать доступ к файлам без аутентификации, тогда как на macOS есть некоторые всплывающие запросы, ограничивающие действия контейнера.