Container Escape
¿Qué es Container Escape?
Container EscapeExploit que rompe el aislamiento entre un contenedor y su host, permitiendo al atacante ejecutar codigo en el nodo o el kernel subyacente.
El container escape aprovecha debilidades del runtime de contenedores, del kernel o de espacios de nombres mal configurados para escapar del aislamiento y obtener privilegios en el sistema operativo anfitrion. Casos clasicos incluyen CVE-2019-5736 en runC, donde un contenedor malicioso podia sobrescribir el binario runC y obtener root en el host, asi como abusos de contenedores privilegiados, sockets de Docker montados o espacios PID compartidos. Tras escapar, el atacante suele moverse lateralmente en el clster, robar credenciales del kubelet y acceder a otras cargas. Las mitigaciones incluyen contenedores rootless, perfiles seccomp y AppArmor, sistemas de archivos de solo lectura, sandboxes gVisor o Kata, y parches rapidos.
● Ejemplos
- 01
Explotar CVE-2019-5736 para sobrescribir /usr/bin/runc y ejecutar codigo como root en el host.
- 02
Un contenedor privilegiado que monta /var/run/docker.sock y crea otro contenedor con el sistema de archivos del host.
● Preguntas frecuentes
¿Qué es Container Escape?
Exploit que rompe el aislamiento entre un contenedor y su host, permitiendo al atacante ejecutar codigo en el nodo o el kernel subyacente. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Container Escape?
Exploit que rompe el aislamiento entre un contenedor y su host, permitiendo al atacante ejecutar codigo en el nodo o el kernel subyacente.
¿Cómo defenderse de Container Escape?
Las defensas contra Container Escape combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Container Escape?
Nombres alternativos comunes: Fuga de contenedor, Escape de Docker.