CVE-2025-9074: Kritische Schwachstelle in Docker Desktop ermöglicht lokalen Containerzugriff auf Docker Engine API über Subnetz

Docker ist eines der Rückgrate moderner Unternehmensinfrastrukturen und treibt Cloud-native Anwendungen, CI/CD-Pipelines und Microservices in großem Maßstab an. Daher sind Schwachstellen in Docker-Images und -Runtimes besonders gefährlich, da sie Tür und Tor für schwere Supply-Chain-Angriffe, Container-Escapes, Datenlecks und sogar vollständige Host-Komprimittierungen öffnen können.

Beispielsweise infiltrierte im März 2024 eine in die weit verbreitete „xz-utils“-Bibliothek eingefügte Backdoor Debian-basierte Docker-Images, verbreitete sich stillschweigend über Docker Hub und blieb zugänglich, was beunruhigende Fragen zur Integrität der Supply Chain aufwarf. Vor diesem Hintergrund unterstreicht die kürzlich entdeckte kritische Sicherheitslücke in Docker Desktop (CVE-2025-9074) die Dringlichkeit von zeitnahen Updates und proaktiver Verteidigung – denn selbst ein einzelner ungepatchter Docker-Fehler kann zu einem massiven Sicherheitsvorfall führen.

Melden Sie sich auf der SOC Prime Plattform an, um Zugriff auf den globalen Active-Threats-Feed zu erhalten, der Echtzeit-Cyberbedrohungsinformationen und kuratierte Erkennungsalgorithmen für aufkommende Bedrohungen bietet. Alle Regeln sind kompatibel mit mehreren SIEM-, EDR- und Data-Lake-Formaten und auf das MITRE ATT&CK®-Framework abgebildet. Zusätzlich ist jede Regel mit CTI-Links, Angriffs-Timelines, Audit-Konfigurationen, Triage-Empfehlungen und weiterem relevanten Kontext angereichert. Klicken Sie auf den Erkennungen entdecken-Button, um den gesamten Erkennungsstack für die proaktive Verteidigung gegen kritische Schwachstellen nach dem „CVE“-Tag gefiltert einzusehen.

Erkennungen entdecken

Alternativ können Sicherheitsexperten im Threat Detection Marketplace ein „Docker“-Tag anwenden, um nach Erkennungsinhalten für Docker-bezogene Bedrohungen zu suchen.

Sicherheitsingenieure können auch Uncoder AI nutzen – einen privaten KI-Co-Piloten speziell für Threat-Informed Detection Engineering. Mit Uncoder können Verteidiger automatisch IOCs in umsetzbare Hunting-Queries umwandeln, Erkennungsregeln aus Rohbedrohungsberichten erstellen, Angriffsflussdiagramme generieren, ATT&CK-Tags vorhersagen, KI-gestützte Query-Optimierung nutzen und Erkennungsinhalte plattformübergreifend übersetzen.

CVE-2025-9074 Analyse

Eine kritische CVE-2025-9074-Sicherheitslücke in Docker Desktop ermöglicht es lokal laufenden Linux-Containern, über das Standard-Subnetz (192.168.65.7:2375) auf die Docker Engine API zuzugreifen. Das Problem besteht unabhängig von den Einstellungen für Enhanced Container Isolation (ECI) oder TCP-Exposition.

Laut Dockers Release-Ankündigung erlaubt die Schwachstelle bösartigen Containern in Docker Desktop, direkt mit der Docker Engine zu interagieren und sogar neue Container zu starten, ohne dass das Docker-Socket gemountet werden muss.

Bei Ausnutzung könnten Angreifer privilegierte API-Befehle ausführen, wie z. B. Container steuern, neue Container erstellen und Images verwalten. In speziellen Szenarien, wie Docker Desktop für Windows auf einem WSL-Backend, ermöglicht die Schwachstelle auch das Mounten von Host-Laufwerken mit denselben Berechtigungen wie der Docker-Desktop-Benutzer – was die potenziellen Auswirkungen erheblich erhöht. Insgesamt stellt die Lücke ein schwerwiegendes Risiko für Vertraulichkeit, Integrität und Verfügbarkeit dar, obwohl bisher keine PoC oder aktive Ausnutzung von CVE-2025-9074 beobachtet wurde.

Um dieses kritische Risiko zu mindern, sollten IT-Teams und Unternehmensadministratoren sofort auf Docker Desktop Version 4.44.3 oder höher aktualisieren. Aktualisierte Docker-Desktop-Pakete sind für mehrere Plattformen verfügbar, darunter:

• Windows
• Windows ARM (Early Access)
• macOS / Apple Silicon
• macOS / Intel
• Debian
• RPM-basierte Distributionen
• Arch Linux

Da Schwachstellen in weit verbreiteter Software weiter zunehmen, wird Organisationen empfohlen, proaktive Sicherheitspraktiken wie konsistentes Patch-Management und kontinuierliche Überwachung ungewöhnlicher Aktivitäten zu implementieren, um sich gegen aufkommende Bedrohungen zu schützen. Die SOC Prime Plattform stattet Sicherheitsteams mit einer vollständigen Produkt-Suite aus, die auf KI, Automatisierung und Echtzeit-Bedrohungsinformationen basiert und auf Zero-Trust-Sicherheitsprinzipien aufbaut, um Organisationen zu befähigen, aufkommende Bedrohungen zu übertreffen und die Cyber-Resilienz zu erhöhen.