Di dunia DevOps dan kontainerisasi saat ini, alat seperti Docker Compose menjadi sangat populer: mereka memungkinkan pengembang dan tim operasional untuk mendeskripsikan aplikasi multi-kontainer dalam sebuah file YAML, lalu mem-ulai semuanya dengan satu perintah. Namun, sebuah kerentanan baru-baru ini menunjukkan bahwa alat yang dianggap “aman” untuk penggunaan sehari-hari bisa berubah menjadi pintu masuk serius bagi peretas. Kerentanan tersebut adalah CVE-2025-62725, yang memungkinkan eskalasi hingga kompromi sistem hanya dengan menjalankan perintah sederhana seperti docker compose ps atau docker compose config.
Latar Belakang
Docker Compose baru-baru ini memperluas dukungannya untuk artefak OCI (Open Container Initiative) — artinya file Compose bisa disimpan di registry sebagai artefak, lalu diload secara remote melalui direktif include: dalam YAML.
Menurut analisis Imperva:
“The flaw allowed attackers to escape Compose’s cache directory and write arbitrary files on the host system, simply by tricking a user into referencing a malicious remote artifact.”
Singkatnya: saat Docker Compose mengunduh dan mengekstrak artefak remote, ia mempercayai meta-data internal artefak (annotations) yang menentukan lokasi penulisan file seperti com.docker.compose.file atau com.docker.compose.envfile. Proses tersebut tidak memvalidasi bahwa path yang dihasilkan tetap di dalam cache lokal—sehingga path traversal menjadi memungkinkan.
Mekanisme Eksploitasi
Berikut alur bagaimana kerentanan ini dieksploitasi:
-
Penyerang menghosting sebuah artefak OCI di registry yang dikendalikan, dengan layer yang menyertakan annotations berbahaya (misalnya
../../.ssh/authorized_keys). -
Korban menjalankan perintah Compose apa saja yang memicu fetch artefak remote (termasuk perintah yang tampak “read-only” seperti
docker compose psataudocker compose config). -
Compose mengunduh layer, kemudian menulis file ke lokasi yang di-annotate oleh penyerang—karena tidak ada normalisasi path, file seperti
~/.ssh/authorized_keysdapat di-inject. -
Dengan file public key yang tersisip, penyerang bisa mendapatkan akses SSH ke host, lalu melakukan eskalasi atau pivoting ke sistem internal.
-
Yang mengkhawatirkan: tidak perlu meng-up kontainer aktif. Hanya “compose ps” saja sudah cukup untuk memicu exploit.
Dampak dan Skor Kerentanan
Kerentanan ini diberi skor menurut sumber pihak ketiga, sebagai berikut:
-
CVSS v4.0: 8.9 (High)
-
Tipe kelemahan: CWE-22 (Improper Limitation of a Pathname to a Restricted Directory)
Platform terpengaruh: hampir semua lingkungan yang menjalankan Docker Compose sebelum versi v2.40.2 — termasuk Docker Desktop, CI/CD runners, cloud dev environments.
Mitigasi & Rekomendasi
Imperva dan penyedia lainnya menyarankan langkah-langkah berikut:
-
Segera upgrade ke Docker Compose versi v2.40.2 atau yang lebih baru.
-
Lakukan audit terhadap file Compose yang menggunakan artefak remote atau
include:directive dari registry eksternal. -
Terapkan kebijakan pembatasan: hanya pull artefak dari sumber tepercaya, batasi permissions cache directory, aktifkan monitoring file system untuk perubahan tak terduga.
-
Segmentasikan host yang menjalankan Docker Compose agar tidak langsung expose ke jaringan luas, dan batasi akses SSH/key injection.
-
Tingkatkan monitoring terhadap aktivitas mencurigakan seperti update file
authorized_keys, proses yang menjalankansshdi host yang tidak biasa, atau perubahan pada direktori kontainer/cache.
Pelajaran bagi Industri
Beberapa poin penting yang dapat dipetik dari kejadian ini:
-
Alat DevOps yang populer dan dianggap “aman” tetap bisa mengandung risiko besar — keamanan tidak boleh dilupakan dalam pipeline pengembangan.
-
Fungsi yang tampak “read-only” pun bisa jadi vektor serangan, seperti kasus ini: perintah “docker compose ps” saja cukup memicu exploit.
-
Artefak remote harus ditangani sebagai potensi ancaman: memasukkan file eksternal ke sistem lokal selalu membawa risiko path traversal atau injeksi.
-
Patch cepat adalah kunci: setelah kerentanan dipublikasikan, level eksploitasi sangat cepat meningkat — membuat mitigasi segera menjadi sangat penting.
Kesimpulan
Kerentanan CVE-2025-62725 di Docker Compose adalah contoh konkret bagaimana fitur baru (remote artefak OCI) dapat membuka celah serius jika tidak dilengkapi kontrol yang tepat. Meskipun alat tersebut sangat berguna bagi workflow DevOps, organisasi harus tetap waspada dan memastikan bahwa lingkungan pengembangan/kontainerisasi mereka mendapat perlindungan yang memadai. Bagi tim keamanan dan DevOps, hal ini juga menegaskan pentingnya integrasi DevSecOps: keamanan harus hadir sejak desain pipeline, bukan hanya setelah operasi berjalan.
Dengan tutorial mitigasi, update versi, dan kontrol registry artefak yang tepercaya, organisasi dapat mengurangi risiko secara signifikan. Namun yang terpenting adalah kesadaran bahwa ancaman bisa datang dari tempat paling tak terduga — seperti perintah baris sederhana yang dianggap aman oleh banyak orang.
Tabel Pendukung
| Aspek | Detail | Implikasi Operasional |
|---|---|---|
| Versi Terpengaruh | Docker Compose versi < v2.40.2 | Organisasi harus segera upgrade sebelum menjadi target exploit |
| CVSS Score | 8.9 (High) | Menunjukkan risiko sangat serius — prioritas mitigasi tinggi |
| Tipe Kerentanan | Path Traversal / Arbitrary File Write (CWE-22) | Menandakan file system host bisa diretas melalui artefak kontainer |
| Proses Eksploitasi | Perintah “docker compose ps/config” → pengunduhan artefak remote → write file arbitrary | Menunjukkan titik masuk yang tak seharusnya dianggap aman |
| Area Terpengaruh | Docker Desktop, Standalone Compose, CI/CD runners, cloud dev environments | Lingkup sangat luas — baik laptop dev maupun sistem produksi bisa rentan |
| Mitigasi Utama | Upgrade ke v2.40.2+, audit registry artefak, batasi akses cache host file | Prosedur yang harus segera diterapkan untuk mengamankan lingkungan |
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Imperva Indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi imperva.ilogoindonesia.id untuk informasi lebih lanjut !
