Che cos’è CVE-2025-9074 in Docker?

È una vulnerabilità critica che consentiva a un container malevolo di interagire con l’API del Docker Engine e uscire dalla sandbox fino a compromettere l’host.

Quali sistemi sono interessati?

Principalmente Docker Desktop su Windows (WSL2) e macOS. Linux non è impattato nello stesso modo da questa specifica falla.

Come ha risolto Docker il problema?

Con un aggiornamento di Docker Desktop che blocca l’accesso non autenticato all’API dell’Engine da parte dei container, chiudendo il vettore di attacco.

A quale versione devo aggiornare?

Aggiorna almeno alla 4.44.3 di Docker Desktop o successiva, così da includere la patch per CVE-2025-9074.

Come verifico la mia versione di Docker Desktop?

Apri Docker Desktop > Help/About (Informazioni). Lì trovi numero di versione e, se disponibile, il prompt di update.

Quali rischi comporta la vulnerabilità?

Container escape con possibile accesso a file dell’host, modifica di configurazioni e potenziale escalation di privilegi, soprattutto su Windows con backend WSL2.

Cosa devo fare subito per mitigare?

Aggiorna Docker Desktop, rivedi i permessi dei container, monitora mount e chiamate anomale, applica segmentazione e principio del minimo privilegio.

Come capire se sono già stato compromesso?

Controlla log dei container e dell’engine, mount inconsueti del filesystem host, creazione di container non autorizzati e modifiche inattese a file di sistema.

Serve fermare i container in produzione?

Non necessariamente, ma è prudente pianificare l’update immediato, limitare l’esposizione, e riavviare i servizi dopo la patch per ristabilire uno stato pulito.

Quali buone pratiche adottare in futuro?

Aggiornamenti regolari, policy zero-trust, firma delle immagini, controllo degli accessi all’engine, scanning continuo delle immagini e monitoraggio EDR sugli host.

Docker ha recentemente corretto una falla di sicurezza considerata critica, identificata come CVE-2025-9074. Si tratta di una vulnerabilità che permetteva a un contenitore malevolo di uscire dalla sandbox ed eseguire comandi direttamente sul sistema operativo host, con il rischio di compromettere l’intero ambiente.

L’aggiornamento rilasciato da Docker Desktop chiude questa falla, che aveva un punteggio di gravità CVSS 9.3, mettendo in evidenza quanto fosse seria la minaccia.

Docker Risolve la Vulnerabilità Critica CVE-2025-9074 con un Aggiornamento

Che cos’è CVE-2025-9074

La vulnerabilità risiedeva nell’API interna del Docker Engine, accessibile dai container senza alcuna autenticazione. Questo significava che un container compromesso poteva inviare comandi direttamente all’engine, ottenendo di fatto privilegi di amministratore.

Gli scenari più pericolosi erano due:

Su Windows con backend WSL2 → un attaccante poteva montare il disco host dentro un container e manipolare file di sistema, come le DLL, aprendo la strada a un’escalation di privilegi.
Su macOS → l’attacco era più limitato, ma comunque poteva consentire modifiche alle configurazioni di Docker e installazione di backdoor.

Linux non era interessato nello stesso modo, perché utilizza meccanismi diversi per la comunicazione con l’engine.

Come ha risposto Docker

Per correggere la falla, Docker ha rilasciato la versione 4.44.3 di Docker Desktop.

L’aggiornamento disabilita la possibilità per i container di accedere direttamente all’API non autenticata, eliminando così il canale sfruttato dagli attaccanti.

La patch rappresenta una risposta rapida e mirata, che riduce drasticamente la superficie di attacco e ripristina la sicurezza per gli utenti Windows e macOS.

Impatti principali della vulnerabilità

Windows con WSL2 → rischio massimo, con possibilità di lettura e modifica dei file di sistema e compromissione dell’host.
macOS → esposizione minore, ma comunque sufficiente per alterare configurazioni e ridurre la sicurezza complessiva.
Linux → non direttamente vulnerabile a questa specifica falla.

Cosa fare subito

Chi utilizza Docker Desktop deve agire immediatamente:

Aggiornare alla versione 4.44.3 o successive.
Monitorare i container attivi per individuare attività sospette, come tentativi di montaggio insoliti del filesystem.
Applicare politiche di sicurezza più restrittive, trattando Docker Desktop come un componente critico.
Adottare un approccio zero-trust, segmentando le reti e limitando i privilegi dei container.

Docker Risolve la Vulnerabilità Critica CVE-2025-9074 con un Aggiornamento: Conclusione

La CVE-2025-9074 dimostra quanto i container, pur essendo strumenti preziosi, possano diventare un punto d’ingresso pericoloso se non gestiti correttamente. La rapidità con cui Docker ha risolto la falla è un segnale positivo, ma resta fondamentale per utenti e aziende mantenere sempre aggiornati i propri ambienti e rafforzare i controlli di sicurezza.

Un singolo aggiornamento può fare la differenza tra un’infrastruttura sicura e un sistema completamente compromesso.

Leggi anche: Sicurezza Informatica

Leggi anche: Tecnologia

✅ Questo contenuto è stato ottimizzato secondo i principi EEAT (Esperienza, Competenza, Autorevolezza, Affidabilità).