Ataque ao socket do Docker
O que é Ataque ao socket do Docker?
Ataque ao socket do DockerAbuso de um contentor que monta /var/run/docker.sock para controlar o daemon Docker, escapar do contentor e obter root no anfitriao.
O socket /var/run/docker.sock e um plano de controlo sem autenticacao do daemon Docker, que corre como root no anfitriao. Quando um contentor o monta (comum em runners de CI, agentes de monitorizacao e sidecars), qualquer processo dentro dele pode invocar a API do daemon. O atacante que comprometer o contentor pode criar um novo contentor privilegiado com o sistema de ficheiros do anfitriao montado em /host, instalar uma backdoor, ler /etc/shadow ou saltar para o namespace de rede do anfitriao. Mitigacoes: nao montar docker.sock em contentores nao confiaveis, usar Docker rootless, expor o daemon com mTLS ou recorrer a brokers restritos como sysbox ou kaniko.
● Exemplos
- 01
Comprometer um agente Jenkins que monta /var/run/docker.sock e lancar um contentor com --privileged -v /:/host.
- 02
Atacante dentro do contentor Portainer usa o socket para enumerar e iniciar contentores root.
● Perguntas frequentes
O que é Ataque ao socket do Docker?
Abuso de um contentor que monta /var/run/docker.sock para controlar o daemon Docker, escapar do contentor e obter root no anfitriao. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Ataque ao socket do Docker?
Abuso de um contentor que monta /var/run/docker.sock para controlar o daemon Docker, escapar do contentor e obter root no anfitriao.
Como se defender contra Ataque ao socket do Docker?
As defesas contra Ataque ao socket do Docker costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Ataque ao socket do Docker?
Nomes alternativos comuns: Escape via docker.sock.