针对这项漏洞发生的原因,趋势科技表示在名为mount_files的功能当中,对于物件操作的过程里缺乏适当锁定造成,攻击者有机会用来提升权限,并于主机执行任意程式码。不过,利用这项漏洞存在必要条件,那就是攻击者能在容器执行任意程式码,才能触发漏洞。
研究人员进一步说明攻击者可能利用漏洞的手法。首先,攻击者准备两个恶意容器映像档,这些映像档透过磁碟区符号连结(Volume Symlink)进行连结。接著,攻击者借由供应链攻击或社交工程手法,于受害组织的环境执行映像档,这么做使得他们能借由竞争条件存取主机的档案系统。一旦得逞,攻击者就有机会存取执行容器的底层软体Container Runtime Unix,从而以root权限执行任意命令,并远端完全控制受害系统。
除了部署新版Container Toolkit,趋势科技也呼吁用户应遵循最佳实作来缓解CVE-2024-0132、CVE-2025-23359与其他与Docker档案系统捆绑的弱点,这些措施包括:限制Docker API的存取及权限、监控Linux挂载列表、定期稽核容器与主机之间的互动。