ระวังด่วน! Docker แก้ช่องโหว่ร้ายแรง CVE-2025-9074 ระดับ 9.3

ชุมชนเทคโนโลยีทั่วโลกจับตาการอัปเดตจาก Docker ที่ออกมาแก้ไขช่องโหว่ร้ายแรง CVE-2025-9074 ซึ่งมีคะแนนความเสี่ยงสูงถึง 9.3/10 ช่องโหว่นี้กระทบแอป Docker Desktop บน Windows และ macOS อาจทำให้แฮกเกอร์หลบหนีออกจากคอนเทนเนอร์และเข้าถึงระบบโฮสต์ได้ ถือเป็นภัยคุกคามที่นักพัฒนาและผู้ใช้ต้องรีบจัดการ มาดูกันว่ามีอะไรต้องรู้!

ช่องโหว่ CVE-2025-9074 คืออะไร?

ช่องโหว่นี้เกิดจากความบกพร่องในการควบคุมการเข้าถึง Docker Engine API ที่คอนเทนเนอร์สามารถเชื่อมต่อได้โดยไม่ต้องยืนยันตัวตนที่ IP 192.168.65[.]7:2375 ผู้โจมตีสามารถใช้คอนเทนเนอร์ที่ถูกควบคุมเพื่อ:
  • อ่านไฟล์ส่วนตัวบนเครื่องโฮสต์
  • เปลี่ยนแปลงระบบ DLL บน Windows เพื่อยกระดับสิทธิ์เป็นผู้ดูแล
  • แม้แต่ฝังโค้ดอันตรายในแอป Docker บน macOS
ปัญหานี้ไม่กระทบ Linux เพราะใช้ระบบ named pipe แทนการเชื่อมต่อ TCP ซึ่งปลอดภัยกว่า

Docker แก้ไขยังไง?

Docker ออกเวอร์ชัน 4.44.3 เพื่อปิดช่องโหว่นี้ โดยปรับปรุงการแยกคอนเทนเนอร์ (Container Isolation) และจำกัดการเข้าถึง API แบบไม่ได้รับอนุญาต แม้เทคโนโลยี Enhanced Container Isolation (ECI) จะช่วยได้บ้าง แต่ก็ไม่สามารถป้องกันได้ทั้งหมด ผู้ใช้ควรอัปเดตทันทีเพื่อลดความเสี่ยง

ความเสี่ยงบน Windows และ macOS

  • Windows: ผู้โจมตีสามารถผูกไดร์ฟ *C:* เข้ากับคอนเทนเนอร์และเข้าถึงไฟล์ทุกอย่าง รวมถึงยกระดับเป็นแอดมินได้
  • macOS: มีชั้นความปลอดภัยเพิ่มเติม เช่น การขออนุญาตก่อนเข้าถึงโฟลเดอร์ผู้ใช้ แต่แฮกเกอร์ยังควบคุมคอนเทนเนอร์และปรับแต่งการตั้งค่าได้
วิธีโจมตีง่ายที่สุดคือใช้คอนเทนเนอร์ที่ถูกควบคุม หรือใช้ช่องโหว่ SSRF (Server-Side Request Forgery) เพื่อส่งคำขอไปยัง Docker Socket

คำถามที่พบบ่อย

  • ช่องโหว่นี้กระทบฉันไหม? ถ้าใช้ Docker Desktop บน Windows หรือ macOS ต้องอัปเดตด่วน
  • อัปเดตยังไง? ดาวน์โหลดเวอร์ชัน 4.44.3 จากเว็บไซต์ทางการของ Docker
  • อันตรายแค่ไหน? คะแนน 9.3 แปลว่ามีความเสี่ยงสูง อาจเสียข้อมูลหรือถูกแฮกทั้งระบบ
  • Linux ปลอดภัยไหม? ใช่ เพราะใช้ระบบป้องกันที่แตกต่าง

มุมมองใหม่จากภัยคุกคาม

นอกเหนือจากเทคนิคการโจมตี ช่องโหว่นี้สะท้อนถึงความท้าทายของการรักษาความปลอดภัยในเทคโนโลยีคอนเทนเนอร์ที่เติบโตอย่างรวดเร็ว การที่แฮกเกอร์ใช้ช่องทางง่ายๆ อย่าง API ภายในอาจบ่งบอกถึงความจำเป็นที่นักพัฒนาจะต้องทดสอบระบบให้ละเอียดขึ้น ผู้ใช้ทั่วไปอาจต้องระวังแหล่งที่มาของคอนเทนเนอร์มากขึ้นด้วย

วิธีป้องกันตัวเอง

  • อัปเดต Docker Desktop เป็นเวอร์ชัน 4.44.3 ทันที
  • ตรวจสอบคอนเทนเนอร์ที่ดาวน์โหลดมาให้ดี
  • เปิดใช้การตั้งค่าความปลอดภัยเพิ่มเติม เช่น การจำกัดการเข้าถึง API
  • ติดตามข่าวสารจากชุมชน Docker เพื่อรับการอัปเดต

สรุปและข้อคิด

ช่องโหว่ CVE-2025-9074 เป็นคำเตือนให้ทุกคนตื่นตัวกับความปลอดภัยของคอนเทนเนอร์ การอัปเดตเป็นสิ่งจำเป็นเพื่อป้องกันการถูกโจมตีที่อาจนำไปสู่การสูญเสียข้อมูลหรือการควบคุมระบบ หากคุณเป็นนักพัฒนาหรือผู้ใช้ Docker อย่าชะล่าใจ ร่วมปกป้องโลกดิจิทัลไปด้วยกัน! นอกจากนี้ การตระหนักถึงเทรนด์ความปลอดภัยที่เปลี่ยนแปลงอย่างรวดเร็วจะช่วยให้คุณก้าวนำหน้าโจรไซเบอร์ได้ และการฝึกอบรมทีมงานเกี่ยวกับการจัดการคอนเทนเนอร์อย่างปลอดภัยจะเป็นเกราะป้องกันที่แข็งแกร่งในอนาคต CTA BLOG TTT-WEBSITE:
  • สมัครรับข่าวสาร เพื่ออัปเดต ข่าวสารความปลอดภัย ที่สำคัญก่อนใคร!
  • แชร์บทความนี้ ให้เพื่อนร่วมทีมหรือเพื่อนนักพัฒนาของคุณ เพื่อให้ทุกคนได้รับทราบถึง ช่องโหว่ นี้
  • คุณคิดว่าการโจมตีแบบ Container Escape น่ากังวลแค่ไหน? คอมเมนต์ แล้วมาคุยกัน!