Container Escape
O que é Container Escape?
Container EscapeExploracao que quebra o isolamento entre um contentor e o seu host, permitindo ao atacante executar codigo no no subjacente ou no kernel.
O container escape explora fraquezas no runtime de contentores, no kernel ou em namespaces mal configurados para sair do isolamento e obter privilegios no sistema operativo anfitriao. Exemplos classicos incluem o CVE-2019-5736 no runC, em que um contentor malicioso podia sobrescrever o binario runC e obter root no host, bem como abusos de contentores privilegiados, sockets Docker montados ou namespaces PID partilhados. Apos a fuga, o atacante movimenta-se lateralmente pelo cluster, rouba credenciais do kubelet e acede a outras cargas. As mitigacoes incluem contentores rootless, perfis seccomp e AppArmor, sistemas de ficheiros somente leitura, sandboxes gVisor ou Kata, e correcao rapida.
● Exemplos
- 01
Explorar o CVE-2019-5736 para sobrescrever /usr/bin/runc e executar codigo como root no host.
- 02
Um contentor privilegiado que monta /var/run/docker.sock e cria outro contentor com o sistema de ficheiros do host.
● Perguntas frequentes
O que é Container Escape?
Exploracao que quebra o isolamento entre um contentor e o seu host, permitindo ao atacante executar codigo no no subjacente ou no kernel. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Container Escape?
Exploracao que quebra o isolamento entre um contentor e o seu host, permitindo ao atacante executar codigo no no subjacente ou no kernel.
Como funciona Container Escape?
O container escape explora fraquezas no runtime de contentores, no kernel ou em namespaces mal configurados para sair do isolamento e obter privilegios no sistema operativo anfitriao. Exemplos classicos incluem o CVE-2019-5736 no runC, em que um contentor malicioso podia sobrescrever o binario runC e obter root no host, bem como abusos de contentores privilegiados, sockets Docker montados ou namespaces PID partilhados. Apos a fuga, o atacante movimenta-se lateralmente pelo cluster, rouba credenciais do kubelet e acede a outras cargas. As mitigacoes incluem contentores rootless, perfis seccomp e AppArmor, sistemas de ficheiros somente leitura, sandboxes gVisor ou Kata, e correcao rapida.
Como se defender contra Container Escape?
As defesas contra Container Escape costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Container Escape?
Nomes alternativos comuns: Fuga de contentor, Escape de Docker.
● Termos relacionados
- cloud-security№ 598
Ataque a cluster Kubernetes
Intrusao contra um cluster Kubernetes (K8s) que abusa de APIs expostas, RBAC fraco ou cargas vulneraveis para controlar o plano de controlo ou os nos de trabalho.
- cloud-security№ 505
Escalonamento de privilegios IAM
Abuso de permissoes IAM existentes na nuvem para obter privilegios superiores, normalmente por edicao de politica, assuncao de papel ou auto-concessao de direitos administrativos.
- cloud-security№ 187
SSRF de metadados na nuvem
Ataque SSRF que abusa de uma aplicacao vulneravel para consultar o servico de metadados de instancia do provedor de nuvem e roubar credenciais temporarias.
- cloud-security№ 183
Exfiltracao de dados na nuvem
Copia ou transferencia nao autorizada de dados para fora de uma conta cloud, normalmente via APIs de armazenamento, snapshots, replicacao ou contas controladas pelo atacante.
- vulnerabilities№ 860
Escalada de privilégios
Classe de vulnerabilidades que permite a um atacante obter permissões superiores às concedidas inicialmente, por exemplo passar de utilizador normal a administrador.