Attaque du socket Docker
Qu'est-ce que Attaque du socket Docker ?
Attaque du socket DockerAbus d'un conteneur qui monte /var/run/docker.sock pour piloter le daemon Docker, s'evader du conteneur et obtenir root sur l'hote.
Le socket /var/run/docker.sock est un plan de controle non authentifie du daemon Docker, lequel tourne en root sur l'hote. Quand un conteneur le monte (typique des runners CI, agents de monitoring et sidecars), tout processus interne peut appeler l'API du daemon. Un attaquant qui prend ce conteneur peut creer un nouveau conteneur privilegie avec le rootfs hote monte sur /host, deposer une backdoor, lire /etc/shadow ou basculer dans le namespace reseau de l'hote. Parades : ne pas monter docker.sock dans des conteneurs peu fiables, utiliser Docker rootless, exposer le daemon en mTLS sur TLS, ou interposer des brokers restreints comme sysbox ou kaniko.
● Exemples
- 01
Compromettre un agent Jenkins qui monte /var/run/docker.sock et lancer un conteneur --privileged -v /:/host.
- 02
Un attaquant dans le conteneur Portainer enumere puis lance des conteneurs root via le socket lie.
● Questions fréquentes
Qu'est-ce que Attaque du socket Docker ?
Abus d'un conteneur qui monte /var/run/docker.sock pour piloter le daemon Docker, s'evader du conteneur et obtenir root sur l'hote. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Attaque du socket Docker ?
Abus d'un conteneur qui monte /var/run/docker.sock pour piloter le daemon Docker, s'evader du conteneur et obtenir root sur l'hote.
Comment fonctionne Attaque du socket Docker ?
Le socket /var/run/docker.sock est un plan de controle non authentifie du daemon Docker, lequel tourne en root sur l'hote. Quand un conteneur le monte (typique des runners CI, agents de monitoring et sidecars), tout processus interne peut appeler l'API du daemon. Un attaquant qui prend ce conteneur peut creer un nouveau conteneur privilegie avec le rootfs hote monte sur /host, deposer une backdoor, lire /etc/shadow ou basculer dans le namespace reseau de l'hote. Parades : ne pas monter docker.sock dans des conteneurs peu fiables, utiliser Docker rootless, exposer le daemon en mTLS sur TLS, ou interposer des brokers restreints comme sysbox ou kaniko.
Comment se défendre contre Attaque du socket Docker ?
Les défenses contre Attaque du socket Docker combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Attaque du socket Docker ?
Noms alternatifs courants : Evasion via docker.sock.
● Termes liés
- cloud-security№ 211
Container Escape
Exploit qui rompt l'isolation entre un conteneur et son hote, donnant a l'attaquant l'execution de code sur le noeud sous-jacent ou le noyau.
- cloud-security№ 213
Sécurité des conteneurs
Ensemble de pratiques visant à sécuriser les images de conteneur, les registres, les orchestrateurs et le runtime qui exécute les conteneurs.
- attacks№ 1116
Attaque de la chaîne d'approvisionnement
Attaque qui compromet un fournisseur de logiciel, de matériel ou de services de confiance afin d'atteindre ses clients en aval.
- vulnerabilities№ 860
Élévation de privilèges
Catégorie de vulnérabilités permettant à un attaquant d'obtenir des droits supérieurs à ceux accordés initialement, par exemple passer d'un utilisateur standard à administrateur.