CVE-2025-9074: Vulnerabilità critica in Docker Desktop consente l’accesso locale all’API di Docker Engine tramite subnet

[post-views]
Agosto 21, 2025 · 4 min di lettura
CVE-2025-9074: Vulnerabilità critica in Docker Desktop consente l’accesso locale all’API di Docker Engine tramite subnet

Docker è uno dei pilastri dell’infrastruttura aziendale moderna, alimentando applicazioni cloud-native, pipeline CI/CD e microservizi su larga scala. Pertanto, le vulnerabilità nelle immagini e nei runtime di Docker sono particolarmente pericolose, in quanto possono aprire la porta ad attacchi supply-chain gravi, escape dai container, perdite di dati e persino compromissione completa dell’host.

Ad esempio, a marzo 2024, una backdoor inserita nella libreria “xz-utils” ampiamente utilizzata ha infiltrato immagini Docker basate su Debian, diffondendosi silenziosamente attraverso Docker Hub e rimanendo accessibile, sollevando preoccupazioni inquietanti sull’integrità della supply-chain. In questo contesto, la vulnerabilità critica recentemente scoperta in Docker Desktop (CVE-2025-9074) evidenzia l’urgenza di patch tempestive e difesa proattiva: anche un singolo difetto non corretto in Docker può trasformarsi in una violazione con impatto massivo.

Iscriviti alla Piattaforma SOC Prime per accedere al feed globale di minacce attive, che offre threat intelligence in tempo reale e algoritmi di rilevamento curati per affrontare le minacce emergenti. Tutte le regole sono compatibili con diversi formati SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK®. Inoltre, ogni regola è arricchita con link CTI, timeline degli attacchi, configurazioni di audit, raccomandazioni per la triage e altro contesto rilevante. Premi il pulsante Esplora le rilevazioni per visualizzare l’intero stack di rilevamento per una difesa proattiva contro vulnerabilità critiche filtrate dal tag “CVE”.

Esplora le rilevazioni

In alternativa, i professionisti della sicurezza possono applicare il tag “Docker” nel Threat Detection Marketplace per cercare contenuti di rilevamento relativi alle minacce Docker.

Gli ingegneri della sicurezza possono anche sfruttare Uncoder AI—un co-pilot AI privato progettato per l’ingegneria di rilevamento informata dalle minacce. Con Uncoder, i difensori possono convertire automaticamente gli IOC in query di hunting operative, creare regole di rilevamento dai report delle minacce, generare diagrammi Attack Flow, abilitare la predizione dei tag ATT&CK, ottimizzare le query con AI e tradurre contenuti di rilevamento tra più piattaforme.

Analisi CVE-2025-9074

La vulnerabilità critica CVE-2025-9074 in Docker Desktop consente ai container Linux in esecuzione locale di connettersi all’API Docker Engine tramite la subnet predefinita (192.168.65.7:2375). Il problema persiste indipendentemente dalle impostazioni di Enhanced Container Isolation (ECI) o dall’esposizione TCP.

Secondo l’annuncio ufficiale di Docker, il difetto permette ai container dannosi in Docker Desktop di interagire direttamente con Docker Engine e persino avviare nuovi container, senza necessità di montare il Docker socket.

Se sfruttata, la vulnerabilità consente agli attaccanti di eseguire comandi API privilegiati come il controllo dei container, la creazione di nuovi e la gestione delle immagini. In scenari specifici, come Docker Desktop per Windows su backend WSL, il difetto permette anche il montaggio dei drive dell’host con le stesse autorizzazioni dell’utente Docker Desktop—ampliando significativamente l’impatto potenziale. Nel complesso, la vulnerabilità rappresenta un grave rischio per la riservatezza, l’integrità e la disponibilità, sebbene non siano stati osservati PoC o exploit attivi per CVE-2025-9074.

Per mitigare questo rischio critico, i team IT e gli amministratori aziendali dovrebbero aggiornare immediatamente a Docker Desktop versione 4.44.3 o successiva. I pacchetti aggiornati di Docker Desktop sono disponibili per diverse piattaforme, tra cui:

  • Windows
  • Windows ARM (Early Access)
  • macOS / Apple Silicon
  • macOS / Intel
  • Debian
  • Distribuzioni basate su RPM
  • Arch Linux

Con l’aumento delle vulnerabilità nei software più diffusi, le organizzazioni sono invitate ad adottare pratiche di sicurezza proattive, come una gestione costante delle patch e il monitoraggio continuo di attività anomale, per proteggersi dalle minacce emergenti. Piattaforma SOC Prime offre ai team di sicurezza una suite completa basata su AI, automazione e threat intelligence in tempo reale, costruita sui principi di sicurezza zero-trust per consentire alle organizzazioni di contrastare le minacce emergenti e migliorare la resilienza informatica.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

CVE-2025-43300 Vulnerabilità: Zero-Day in iOS, iPadOS e macOS sotto sfruttamento attivo 4 min di lettura Ultime Minacce CVE-2025-43300 Vulnerabilità: Zero-Day in iOS, iPadOS e macOS sotto sfruttamento attivo by Veronika Telychko Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom 6 min di lettura Ultime Minacce Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom by Daryna Olyniychuk Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente 4 min di lettura Ultime Minacce Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente by Daryna Olyniychuk
Tutte le notizie