Ataque ao socket do Docker
O que é Ataque ao socket do Docker?
Ataque ao socket do DockerAbuso de um contentor que monta /var/run/docker.sock para controlar o daemon Docker, escapar do contentor e obter root no anfitriao.
O socket /var/run/docker.sock e um plano de controlo sem autenticacao do daemon Docker, que corre como root no anfitriao. Quando um contentor o monta (comum em runners de CI, agentes de monitorizacao e sidecars), qualquer processo dentro dele pode invocar a API do daemon. O atacante que comprometer o contentor pode criar um novo contentor privilegiado com o sistema de ficheiros do anfitriao montado em /host, instalar uma backdoor, ler /etc/shadow ou saltar para o namespace de rede do anfitriao. Mitigacoes: nao montar docker.sock em contentores nao confiaveis, usar Docker rootless, expor o daemon com mTLS ou recorrer a brokers restritos como sysbox ou kaniko.
● Exemplos
- 01
Comprometer um agente Jenkins que monta /var/run/docker.sock e lancar um contentor com --privileged -v /:/host.
- 02
Atacante dentro do contentor Portainer usa o socket para enumerar e iniciar contentores root.
● Perguntas frequentes
O que é Ataque ao socket do Docker?
Abuso de um contentor que monta /var/run/docker.sock para controlar o daemon Docker, escapar do contentor e obter root no anfitriao. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Ataque ao socket do Docker?
Abuso de um contentor que monta /var/run/docker.sock para controlar o daemon Docker, escapar do contentor e obter root no anfitriao.
Como funciona Ataque ao socket do Docker?
O socket /var/run/docker.sock e um plano de controlo sem autenticacao do daemon Docker, que corre como root no anfitriao. Quando um contentor o monta (comum em runners de CI, agentes de monitorizacao e sidecars), qualquer processo dentro dele pode invocar a API do daemon. O atacante que comprometer o contentor pode criar um novo contentor privilegiado com o sistema de ficheiros do anfitriao montado em /host, instalar uma backdoor, ler /etc/shadow ou saltar para o namespace de rede do anfitriao. Mitigacoes: nao montar docker.sock em contentores nao confiaveis, usar Docker rootless, expor o daemon com mTLS ou recorrer a brokers restritos como sysbox ou kaniko.
Como se defender contra Ataque ao socket do Docker?
As defesas contra Ataque ao socket do Docker costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Ataque ao socket do Docker?
Nomes alternativos comuns: Escape via docker.sock.
● Termos relacionados
- cloud-security№ 211
Container Escape
Exploracao que quebra o isolamento entre um contentor e o seu host, permitindo ao atacante executar codigo no no subjacente ou no kernel.
- cloud-security№ 213
Segurança de contentores
Prática de proteger imagens de contentor, registos, orquestradores e o runtime onde os contentores são executados.
- attacks№ 1116
Ataque à cadeia de fornecimento
Ataque que compromete um fornecedor de software, hardware ou serviços de confiança para alcançar os seus clientes a jusante.
- vulnerabilities№ 860
Escalada de privilégios
Classe de vulnerabilidades que permite a um atacante obter permissões superiores às concedidas inicialmente, por exemplo passar de utilizador normal a administrador.