Container Escape
Qu'est-ce que Container Escape ?
Container EscapeExploit qui rompt l'isolation entre un conteneur et son hote, donnant a l'attaquant l'execution de code sur le noeud sous-jacent ou le noyau.
Le container escape exploite des failles du runtime de conteneurs, du noyau ou des namespaces mal configures pour sortir de l'isolation et obtenir des privileges sur le systeme hote. Exemples classiques: CVE-2019-5736 dans runC, ou un conteneur malveillant pouvait reecrire le binaire runC et obtenir root sur l'hote, ainsi que les abus de conteneurs privilegies, sockets Docker montes ou namespaces PID partages. Apres l'evasion, l'attaquant se deplace lateralement dans le cluster, vole les identifiants kubelet et accede a d'autres charges. Mitigations: conteneurs rootless, profils seccomp et AppArmor, systemes de fichiers en lecture seule, sandboxes gVisor ou Kata, et correctifs rapides.
● Exemples
- 01
Exploiter CVE-2019-5736 pour reecrire /usr/bin/runc et executer du code en tant que root sur l'hote.
- 02
Un conteneur privilegie qui monte /var/run/docker.sock et cree un nouveau conteneur avec le systeme de fichiers de l'hote.
● Questions fréquentes
Qu'est-ce que Container Escape ?
Exploit qui rompt l'isolation entre un conteneur et son hote, donnant a l'attaquant l'execution de code sur le noeud sous-jacent ou le noyau. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Container Escape ?
Exploit qui rompt l'isolation entre un conteneur et son hote, donnant a l'attaquant l'execution de code sur le noeud sous-jacent ou le noyau.
Comment se défendre contre Container Escape ?
Les défenses contre Container Escape combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Container Escape ?
Noms alternatifs courants : Evasion de conteneur, Echappement Docker.