Μια νέα ευπάθεια στη λειτουργία Registry Access Management (RAM) του Docker Desktop, καθιστά τους χρήστες macOS ευάλωτους σε μη εξουσιοδοτημένες λήψεις container images, υπονομεύοντας κρίσιμους μηχανισμούς ασφαλείας των κοντέινερ.
Δείτε επίσης: Νέα επίθεση Docker 1-Click RCE εκμεταλλεύεται εσφαλμένες ρυθμίσεις API
Η ευπάθεια έχει καταχωρηθεί ως CVE-2025-4095 και επιτρέπει σε προγραμματιστές να παρακάμπτουν τους περιορισμούς πρόσβασης σε μητρώα εικόνων που έχουν επιβληθεί από διαχειριστές, εκθέτοντας ενδεχομένως τους οργανισμούς σε κακόβουλα container images ή μη εγκεκριμένες εξαρτήσεις λογισμικού. Η λειτουργία RAM έχει σχεδιαστεί ώστε να περιορίζει τις λήψεις εικόνων κοντέινερ μόνο από προκαθορισμένα μητρώα, όπως το Docker Hub, το Amazon ECR ή ιδιωτικά αποθετήρια. Μέσω αποκλεισμών σε επίπεδο DNS, το RAM εμποδίζει την πρόσβαση σε μη έμπιστες πηγές, αποτελώντας βασικό στοιχείο για την ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού.
Ωστόσο, όταν οι οργανισμοί επιβάλλουν πολιτικές σύνδεσης στο macOS μέσω προφίλ ρυθμίσεων (μια συνηθισμένη μέθοδος εταιρικής ανάπτυξης), οι πολιτικές RAM δεν ενεργοποιούνται σωστά.
Η ευπάθεια οφείλεται σε λανθασμένη ρύθμιση της μηχανής επιβολής πολιτικών του Docker Desktop. Στο macOS, το Docker εκτελείται μέσα σε μια εικονική μηχανή Hyperkit, με τις πολιτικές RAM να εφαρμόζονται στο επίπεδο του daemon μετά την ταυτοποίηση του χρήστη.
Δείτε ακόμα: Hackers εκμεταλλεύονται API Docker Servers για Crypto Mining επιθέσεις
Τα προφίλ ρυθμίσεων —αρχεία XML ή mobileconfig που χρησιμοποιούνται για τον αυτοματισμό παραμέτρων— δίνουν εσφαλμένα προτεραιότητα στην επιβολή σύνδεσης έναντι της ενεργοποίησης των πολιτικών RAM.
Αυτό προκαλεί μια συνθήκη race condition, κατά την οποία ο daemon του Docker εκκινείται πριν φορτωθούν οι πολιτικές RAM, αφήνοντας τα μητρώα ανεξέλεγκτα μέχρι την επόμενη επανεκκίνηση του συστήματος.
Οι επηρεαζόμενες εκδόσεις περιλαμβάνουν το Docker Desktop 4.36.0 έως και 4.40.x για macOS. Η βαθμολογία CVSS v4.0 είναι 4.3 (Μέτρια), ωστόσο αυτή υποτιμά τον λειτουργικό κίνδυνο, καθώς επιτιθέμενοι μπορούν να εκμεταλλευτούν το κενό αυτό για να εισάγουν κακόβουλες εικόνες σε γραμμές ανάπτυξης λογισμικού.
Δείτε επίσης: Η Docker διορθώνει κρίσιμη ευπάθεια στο Docker Engine
Κάτι σχετικό με τα παραπάνω είναι η σημασία του “secure-by-design” στις πλατφόρμες ανάπτυξης, όπως το Docker. Όταν μηχανισμοί ασφαλείας, όπως το Registry Access Management (RAM), δεν ενεργοποιούνται σωστά ή μπορούν να παρακαμφθούν λόγω συνθηκών όπως race conditions, υπονομεύεται η εμπιστοσύνη σε όλη την αλυσίδα εφοδιασμού λογισμικού. Αυτό είναι ιδιαίτερα κρίσιμο σε περιβάλλοντα CI/CD (Continuous Integration/Continuous Deployment), όπου ακόμη και μία εισαγωγή μη εγκεκριμένου ή κακόβουλου container εικόνας μπορεί να διαδοθεί γρήγορα σε παραγωγικά συστήματα, με σοβαρές συνέπειες για την ασφάλεια και τη συμμόρφωση.
Πηγή: cybersecuritynews
