خلاصه مدیریتی

• محصول هدف: Docker Desktop (Windows و macOS)
• بردار حمله: دسترسی کانتینر لینوکسی به API داکر روی ساب‌نت خصوصی 192.168.65.7:2375 ➜ اجرای کانتینر/دستور روی میزبان.
• شدت: بحرانی (CVSS 9.3)؛ امکان دسترسی به فایل‌های کاربر و تصرف میزبان.
• وضعیت: وصله منتشر شده؛ به‌روزرسانی فوری توصیه می‌شود.

نسخه‌های درگیر و وصله

Docker Desktop پیش از 4.44.3 آسیب‌پذیر است. در 4.44.3 مشکل برطرف شده است.

اقدام فوری (پیشنهاد Pamtech)

1. به‌روزرسانی فوری به 4.44.3+ در Windows/macOS.
2. تا زمان ارتقاء: مسدودسازی دسترسی از کانتینرها به 192.168.65.7:2375 با فایروال/پالیسی‌های شبکه و عدم اجرای کانتینرهای ناشناخته.
3. بررسی لاگ‌ها و خروجی docker ps -a و docker events برای کانتینرهای غیرمنتظره.
4. محدود کردن اشتراک فایل‌ها/درایوها در تنظیمات Desktop و اجرای Dev containers با حداقل مجوز.

تشخیص و نشانه‌های نفوذ (Detection/IOC)

• اتصالات از فضای کانتینر به آدرس 192.168.65.7:2375 (بدون TLS).
• ایجاد کانتینرهایی که با workloadهای معمول شما همخوان نیستند.
• در Windows/WSL2: تلاش برای mount کردن درایوهای سیستم یا خواندن فایل‌های حساس کاربر.
• وقایع غیرعادی در com.docker.backend (macOS) یا سرویس Docker Engine (Windows).