Docker-Socket-Angriff
Was ist Docker-Socket-Angriff?
Docker-Socket-AngriffMissbrauch eines Containers, der /var/run/docker.sock einbindet, um den Docker-Daemon zu steuern, aus dem Container auszubrechen und Host-Root zu erlangen.
Der Docker-Socket /var/run/docker.sock ist eine nicht authentifizierte Steuerungsebene fuer den Docker-Daemon, der auf dem Host als Root laeuft. Bindet ein Container den Socket ein (haeufig fuer CI-Runner, Monitoring-Agents oder Sidecars), kann jeder Prozess darin die Daemon-API aufrufen. Ein Angreifer in diesem Container kann einen neuen privilegierten Container starten, der das Host-Dateisystem als /host einbindet, eine Backdoor installieren, /etc/shadow lesen oder in den Host-Network-Namespace wechseln. Gegenmassnahmen: docker.sock nie in unsichere Container mounten, Rootless Docker einsetzen, den Daemon ueber mTLS exponieren oder eingeschraenkte Broker wie sysbox oder kaniko verwenden.
● Beispiele
- 01
Kompromittierung eines Jenkins-Agent-Containers mit /var/run/docker.sock und Start eines neuen --privileged -v /:/host-Containers.
- 02
Angreifer im Portainer-Container nutzt den gebundenen Socket, um Root-Container zu starten.
● Häufige Fragen
Was ist Docker-Socket-Angriff?
Missbrauch eines Containers, der /var/run/docker.sock einbindet, um den Docker-Daemon zu steuern, aus dem Container auszubrechen und Host-Root zu erlangen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Docker-Socket-Angriff?
Missbrauch eines Containers, der /var/run/docker.sock einbindet, um den Docker-Daemon zu steuern, aus dem Container auszubrechen und Host-Root zu erlangen.
Wie funktioniert Docker-Socket-Angriff?
Der Docker-Socket /var/run/docker.sock ist eine nicht authentifizierte Steuerungsebene fuer den Docker-Daemon, der auf dem Host als Root laeuft. Bindet ein Container den Socket ein (haeufig fuer CI-Runner, Monitoring-Agents oder Sidecars), kann jeder Prozess darin die Daemon-API aufrufen. Ein Angreifer in diesem Container kann einen neuen privilegierten Container starten, der das Host-Dateisystem als /host einbindet, eine Backdoor installieren, /etc/shadow lesen oder in den Host-Network-Namespace wechseln. Gegenmassnahmen: docker.sock nie in unsichere Container mounten, Rootless Docker einsetzen, den Daemon ueber mTLS exponieren oder eingeschraenkte Broker wie sysbox oder kaniko verwenden.
Wie schützt man sich gegen Docker-Socket-Angriff?
Schutzmaßnahmen gegen Docker-Socket-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Docker-Socket-Angriff?
Übliche alternative Bezeichnungen: docker.sock-Escape.
● Verwandte Begriffe
- cloud-security№ 211
Container Escape
Ein Exploit, der die Isolation zwischen einem Container und seinem Host durchbricht und dem Angreifer Codeausfuehrung auf dem darunterliegenden Knoten oder Kernel ermoeglicht.
- cloud-security№ 213
Container-Sicherheit
Die Praxis, Container-Images, Registries, Orchestratoren und die Laufzeitumgebung, in der Container ausgeführt werden, abzusichern.
- attacks№ 1116
Supply-Chain-Angriff
Angriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen.
- vulnerabilities№ 860
Privilegieneskalation
Eine Klasse von Schwachstellen, die einem Angreifer höhere Rechte verschafft als ursprünglich vergeben — etwa vom normalen Benutzer zum Administrator.