Container Escape
¿Qué es Container Escape?
Container EscapeExploit que rompe el aislamiento entre un contenedor y su host, permitiendo al atacante ejecutar codigo en el nodo o el kernel subyacente.
El container escape aprovecha debilidades del runtime de contenedores, del kernel o de espacios de nombres mal configurados para escapar del aislamiento y obtener privilegios en el sistema operativo anfitrion. Casos clasicos incluyen CVE-2019-5736 en runC, donde un contenedor malicioso podia sobrescribir el binario runC y obtener root en el host, asi como abusos de contenedores privilegiados, sockets de Docker montados o espacios PID compartidos. Tras escapar, el atacante suele moverse lateralmente en el clster, robar credenciales del kubelet y acceder a otras cargas. Las mitigaciones incluyen contenedores rootless, perfiles seccomp y AppArmor, sistemas de archivos de solo lectura, sandboxes gVisor o Kata, y parches rapidos.
● Ejemplos
- 01
Explotar CVE-2019-5736 para sobrescribir /usr/bin/runc y ejecutar codigo como root en el host.
- 02
Un contenedor privilegiado que monta /var/run/docker.sock y crea otro contenedor con el sistema de archivos del host.
● Preguntas frecuentes
¿Qué es Container Escape?
Exploit que rompe el aislamiento entre un contenedor y su host, permitiendo al atacante ejecutar codigo en el nodo o el kernel subyacente. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Container Escape?
Exploit que rompe el aislamiento entre un contenedor y su host, permitiendo al atacante ejecutar codigo en el nodo o el kernel subyacente.
¿Cómo funciona Container Escape?
El container escape aprovecha debilidades del runtime de contenedores, del kernel o de espacios de nombres mal configurados para escapar del aislamiento y obtener privilegios en el sistema operativo anfitrion. Casos clasicos incluyen CVE-2019-5736 en runC, donde un contenedor malicioso podia sobrescribir el binario runC y obtener root en el host, asi como abusos de contenedores privilegiados, sockets de Docker montados o espacios PID compartidos. Tras escapar, el atacante suele moverse lateralmente en el clster, robar credenciales del kubelet y acceder a otras cargas. Las mitigaciones incluyen contenedores rootless, perfiles seccomp y AppArmor, sistemas de archivos de solo lectura, sandboxes gVisor o Kata, y parches rapidos.
¿Cómo defenderse de Container Escape?
Las defensas contra Container Escape combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Container Escape?
Nombres alternativos comunes: Fuga de contenedor, Escape de Docker.
● Términos relacionados
- cloud-security№ 598
Ataque a cluster de Kubernetes
Intrusion contra un cluster de Kubernetes (K8s) que abusa de APIs expuestas, RBAC debil o cargas vulnerables para hacerse con el control plano o los nodos.
- cloud-security№ 505
Escalada de privilegios IAM
Abuso de permisos IAM existentes en la nube para obtener privilegios mas amplios, a menudo editando politicas, asumiendo roles o autoconcediendose permisos administrativos.
- cloud-security№ 187
SSRF al metadato de la nube
Ataque SSRF que abusa de una aplicacion vulnerable para consultar el servicio de metadatos de instancia del proveedor cloud y robar credenciales temporales.
- cloud-security№ 183
Exfiltracion de datos en la nube
Copia o transferencia no autorizada de datos fuera de una cuenta cloud, habitualmente mediante APIs de almacenamiento, snapshots, replicacion o cuentas controladas por el atacante.
- vulnerabilities№ 860
Escalada de privilegios
Clase de vulnerabilidades que permite al atacante obtener permisos superiores a los concedidos inicialmente, por ejemplo pasar de usuario normal a administrador.