Container Breakouts

Salirte del contenedor

El término Container Breakout se refiere al evento en el que un usuario malicioso o legítimo es capaz de escapar del aislamiento del contenedor y acceder a recursos (por ejemplo, sistema de archivos, procesos, interfaces de red) en la máquina anfitriona. En esta entrada se cubren los diferentes errores de configuración y los privilegios excesivos que pueden utilizarse para escapar de los contenedores. El container Breackout siempre se hace bajo un enfoque de violación asumida, lo que significa que el atacante ya ha obtenido un shell de comandos en el contenedor.

Atáques comunes

• Aprovechamiento de configuraciones erróneas para la fuga de Docker

• Aprovechamiento de privilegios excesivos para acceder al host Docker

• Identificar y aprovechar las capacidades adicionales de Linux asignadas al contenedor

• Atacar espacios de nombres compartidos para violar el aislamiento del contenedor

Por defecto, los contenedores Docker se ejecutan con capacidades limitadas. Por lo tanto, para realizar una operación privilegiada (como actualizar el tiempo, depurar el proceso, etc.) el contenedor requiere capacidades adicionales. Y, la mayoría de las veces en lugar de definir las capacidades específicas, la gente simplemente ejecuta el contenedor en el modo privilegiado que puede conducir a comprometer la máquina host subyacente.

Herramientas de seguridad de Docker

Docker cuenta con una rica comunidad de desarrolladores, administradores de sistemas y profesionales de la seguridad. Esta comunidad promueve el uso de Docker compartiendo e intercambiando conocimientos y creando herramientas para realizar diferentes tareas. Hay herramientas que ayudan a simplificar la gestión de entornos Docker y herramientas que ayudan a mantener el entorno seguro.

Tools:

Portainer

Powerful container management software for Kubernetes, Docker & Swarm

Escaneado de imágenes con Clair

What is Clair?

Docker Bench Security

GitHub - docker/docker-bench-security: The Docker Bench for Security is a script that checks for dozens of common best-practices around deploying Docker containers in production.GitHub

Seguridad Docker

https://github.com/collabnix/dockerlabs/blob/master/advanced/security/ByPassing-Linux-Security-Audit.md

Inmersión en Docker

Learn to Analyze Docker Image with Dive toolPentester Academy Blog

Referencias

Vulnerabilidad de fuga de contenedor RunC

CVE - CVE-2019-5736

Abusando de la capacidad SYS_MODULE para realizar la fuga del contenedor Docker

Abusing SYS_MODULE capability to perform Docker container breakoutMedium

Charla Blackhat sobre escapes de contenedores