Container Escape
Qu'est-ce que Container Escape ?
Container EscapeExploit qui rompt l'isolation entre un conteneur et son hote, donnant a l'attaquant l'execution de code sur le noeud sous-jacent ou le noyau.
Le container escape exploite des failles du runtime de conteneurs, du noyau ou des namespaces mal configures pour sortir de l'isolation et obtenir des privileges sur le systeme hote. Exemples classiques: CVE-2019-5736 dans runC, ou un conteneur malveillant pouvait reecrire le binaire runC et obtenir root sur l'hote, ainsi que les abus de conteneurs privilegies, sockets Docker montes ou namespaces PID partages. Apres l'evasion, l'attaquant se deplace lateralement dans le cluster, vole les identifiants kubelet et accede a d'autres charges. Mitigations: conteneurs rootless, profils seccomp et AppArmor, systemes de fichiers en lecture seule, sandboxes gVisor ou Kata, et correctifs rapides.
● Exemples
- 01
Exploiter CVE-2019-5736 pour reecrire /usr/bin/runc et executer du code en tant que root sur l'hote.
- 02
Un conteneur privilegie qui monte /var/run/docker.sock et cree un nouveau conteneur avec le systeme de fichiers de l'hote.
● Questions fréquentes
Qu'est-ce que Container Escape ?
Exploit qui rompt l'isolation entre un conteneur et son hote, donnant a l'attaquant l'execution de code sur le noeud sous-jacent ou le noyau. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Container Escape ?
Exploit qui rompt l'isolation entre un conteneur et son hote, donnant a l'attaquant l'execution de code sur le noeud sous-jacent ou le noyau.
Comment fonctionne Container Escape ?
Le container escape exploite des failles du runtime de conteneurs, du noyau ou des namespaces mal configures pour sortir de l'isolation et obtenir des privileges sur le systeme hote. Exemples classiques: CVE-2019-5736 dans runC, ou un conteneur malveillant pouvait reecrire le binaire runC et obtenir root sur l'hote, ainsi que les abus de conteneurs privilegies, sockets Docker montes ou namespaces PID partages. Apres l'evasion, l'attaquant se deplace lateralement dans le cluster, vole les identifiants kubelet et accede a d'autres charges. Mitigations: conteneurs rootless, profils seccomp et AppArmor, systemes de fichiers en lecture seule, sandboxes gVisor ou Kata, et correctifs rapides.
Comment se défendre contre Container Escape ?
Les défenses contre Container Escape combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Container Escape ?
Noms alternatifs courants : Evasion de conteneur, Echappement Docker.
● Termes liés
- cloud-security№ 598
Attaque de cluster Kubernetes
Intrusion sur un cluster Kubernetes (K8s) exploitant des APIs exposees, un RBAC faible ou des charges vulnerables pour prendre le controle du plan de controle ou des noeuds.
- cloud-security№ 505
Escalade de privileges IAM
Detournement de permissions IAM existantes dans le cloud pour obtenir des privileges superieurs, souvent par edition de policy, prise de role ou auto-attribution de droits admin.
- cloud-security№ 187
SSRF sur metadonnees cloud
Attaque SSRF qui exploite une application vulnerable pour interroger le service de metadonnees de l'instance du fournisseur cloud et voler des identifiants temporaires.
- cloud-security№ 183
Exfiltration de donnees cloud
Copie ou transfert non autorise de donnees hors d'un compte cloud, souvent via APIs de stockage, snapshots, replication ou comptes controles par l'attaquant.
- vulnerabilities№ 860
Élévation de privilèges
Catégorie de vulnérabilités permettant à un attaquant d'obtenir des droits supérieurs à ceux accordés initialement, par exemple passer d'un utilisateur standard à administrateur.
● Voir aussi
- № 182Cryptojacking cloud
- № 964Sandbox escape
- № 346Attaque du socket Docker