Docker-Socket-Angriff
Was ist Docker-Socket-Angriff?
Docker-Socket-AngriffMissbrauch eines Containers, der /var/run/docker.sock einbindet, um den Docker-Daemon zu steuern, aus dem Container auszubrechen und Host-Root zu erlangen.
Der Docker-Socket /var/run/docker.sock ist eine nicht authentifizierte Steuerungsebene fuer den Docker-Daemon, der auf dem Host als Root laeuft. Bindet ein Container den Socket ein (haeufig fuer CI-Runner, Monitoring-Agents oder Sidecars), kann jeder Prozess darin die Daemon-API aufrufen. Ein Angreifer in diesem Container kann einen neuen privilegierten Container starten, der das Host-Dateisystem als /host einbindet, eine Backdoor installieren, /etc/shadow lesen oder in den Host-Network-Namespace wechseln. Gegenmassnahmen: docker.sock nie in unsichere Container mounten, Rootless Docker einsetzen, den Daemon ueber mTLS exponieren oder eingeschraenkte Broker wie sysbox oder kaniko verwenden.
● Beispiele
- 01
Kompromittierung eines Jenkins-Agent-Containers mit /var/run/docker.sock und Start eines neuen --privileged -v /:/host-Containers.
- 02
Angreifer im Portainer-Container nutzt den gebundenen Socket, um Root-Container zu starten.
● Häufige Fragen
Was ist Docker-Socket-Angriff?
Missbrauch eines Containers, der /var/run/docker.sock einbindet, um den Docker-Daemon zu steuern, aus dem Container auszubrechen und Host-Root zu erlangen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Docker-Socket-Angriff?
Missbrauch eines Containers, der /var/run/docker.sock einbindet, um den Docker-Daemon zu steuern, aus dem Container auszubrechen und Host-Root zu erlangen.
Wie schützt man sich gegen Docker-Socket-Angriff?
Schutzmaßnahmen gegen Docker-Socket-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Docker-Socket-Angriff?
Übliche alternative Bezeichnungen: docker.sock-Escape.