Docker Registry Vulnerability Lets macOS Users Access Any Registry Without Authorization
2025/04/30 gbhackers — 先日に発見された Docker Desktop macOS 版の脆弱性が、開発者やセキュリティ・コミュニティの間で懸念を引き起こしている。この脆弱性は、Registry Access Management (RAM) ポリシーの、特定の状況下での不適切な適用に起因しており、悪意の可能性のあるコンテナ・イメージへの不正アクセスを許す可能性がある。それにより、サプライチェーン攻撃のリスクに、ユーザー組織が直面する可能性が生じる。
脆弱性の詳細
macOS コンフィグ・プロファイルを介して、サインインを強制する組織のケースにおいて、ユーザー・アクセス・レジストリを制御するRAMポリシーを、Docker Desktop では適切に適用できない。
その結果として、影響を受けるバージョンの macOS を用いる開発者は、上記の制限を回避し、あらゆる Docker レジストリからイメージをプルできる。その中には、組織による承認/検証が行われていないものも含まれる。
CVE のレポートによると、この脆弱性 CVE-2025-4095 (CVSS4:4.3) の悪用により、ソフトウェア開発ライフサイクルに Docker が 不可欠な環境においては、業務の中断や攻撃対象領域の拡大が生じる可能性がある。
| Field | Data |
| CVE ID | CVE-2025-4095 |
| Vulnerability Name | Docker Registry Flaw Lets macOS Users Access Any Registry Without Authorization |
| CWE | CWE-862: Missing Authorization |
| CVSS Score | 4.3 (Medium) |
| Affected Product | Docker Desktop |
| Platform | macOS |
| Affected Versions | From 4.36.0 before 4.41.0 |
Registry Access Management (RAM) は、Docker Desktop ユーザーによるアクセスを、組織が承認した特定のレジストリに制限する、管理者に支援するために設計されている。
しかし、macOS コンフィグ・プロファイルを介してサインイン強制が管理されている場合には、この重要な保護機能が効果を発揮しない。その結果として、たとえばマルウェア/ランサムウェア/バックドアを取り込んだ信頼できないイメージを、ユーザーが誤ってダウンロードする可能性が生じる。
この脆弱性を悪用するには、ローカル認証されたユーザーが必要となるが、DevOps パイプラインの一部として Docker Desktop に依存している組織にとって、この潜在的な影響は深刻なものとなる。
この脆弱性を悪用する攻撃者は、侵害されたコンテナをソフトウェア・サプライチェーンに持ち込み、アプリケーションのセキュリティ/コンプライアンス要件を損なう可能性を手にする。
- この問題が修正された、Docker Desktop 4.41.0 以降へとアップデートしてほしい。
- Docker Desktop の設定とレジスト・リポリシーを定期的に監査してほしい。
- 開発環境と本番環境における、未承認コンテナ・イメージの有無を監視してほしい。
- 開発チームに対して、イメージの取得先を、信頼できるソースだけに絞り込むことの重要性について教育してほしい。
すでに Docker は、パッチをリリースしている。すべての macOS ユーザーに推奨されるのは、速やかなアップデートである。それにより、組織のセキュリティ管理が効果的に実施される。
macOS 版の Docker Desktop に含まれる Docker Registry に、不正アクセスをゆるす可能性がある脆弱性が見つかりました。CVSS スコアは 4.3 と高くりませんが、悪用されるとサプライチェーン攻撃につながるおそれがあります。ご利用中のチームは、アップデートや緩和策の適用をご検討ください。よろしければ、Docker で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.