Container Escape
O que é Container Escape?
Container EscapeExploracao que quebra o isolamento entre um contentor e o seu host, permitindo ao atacante executar codigo no no subjacente ou no kernel.
O container escape explora fraquezas no runtime de contentores, no kernel ou em namespaces mal configurados para sair do isolamento e obter privilegios no sistema operativo anfitriao. Exemplos classicos incluem o CVE-2019-5736 no runC, em que um contentor malicioso podia sobrescrever o binario runC e obter root no host, bem como abusos de contentores privilegiados, sockets Docker montados ou namespaces PID partilhados. Apos a fuga, o atacante movimenta-se lateralmente pelo cluster, rouba credenciais do kubelet e acede a outras cargas. As mitigacoes incluem contentores rootless, perfis seccomp e AppArmor, sistemas de ficheiros somente leitura, sandboxes gVisor ou Kata, e correcao rapida.
● Exemplos
- 01
Explorar o CVE-2019-5736 para sobrescrever /usr/bin/runc e executar codigo como root no host.
- 02
Um contentor privilegiado que monta /var/run/docker.sock e cria outro contentor com o sistema de ficheiros do host.
● Perguntas frequentes
O que é Container Escape?
Exploracao que quebra o isolamento entre um contentor e o seu host, permitindo ao atacante executar codigo no no subjacente ou no kernel. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Container Escape?
Exploracao que quebra o isolamento entre um contentor e o seu host, permitindo ao atacante executar codigo no no subjacente ou no kernel.
Como se defender contra Container Escape?
As defesas contra Container Escape costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Container Escape?
Nomes alternativos comuns: Fuga de contentor, Escape de Docker.