Security Wine (бывший - DevSecOps Wine)@sec_devops P.338

Notice: file_put_contents(): Write of 9196 bytes failed with errno=28 No space left on device in /var/www/tgoop/post.php on line 50

Warning: file_put_contents(): Only 8192 of 17388 bytes written, possibly out of free disk space in /var/www/tgoop/post.php on line 50
Security Wine (бывший - DevSecOps Wine)@sec_devops P.338

SEC_DEVOPS Telegram 338

Security Wine (бывший - DevSecOps Wine)

A Tale of Escaping a Hardened Docker container

Как многим известно, docker.sock крайне не рекомендуется пробрасывать внутрь Docker контейнера согласно CIS. Это может значительно упростить жизнь злоумышленнику для побега за пределы контейнера, но CIS не дает советов как обезопасить подобный сценарий, если "ну очень надо". Так, например, одна организация решила пробрасывать в контейнер некий somethtingelse.sock с аутентификацией и авторизацией на Reverse Proxy для работы с docker.sock.

Статья посвящена обходу подобной архитектуры. На мой взгляд бага несколько глупая и, в принципе, данная архитектура может быть жизнеспособной. Тем не менее, статья хорошо показывает то, как может действовать злоумышленник.

P.S. В документации Docker есть отдельная страничка, посвященная защите docker.sock. Вот также ряд слайдов, которые помогут познакомиться с docker escape и механизмами ядра Linux для работы Docker.

https://www.redtimmy.com/a-tale-of-escaping-a-hardened-docker-container/

#docker #ops #attack

www.tgoop.com/sec_devops/338

2.17K viewsDenis Yakimov, edited Oct 12, 2020 at 07:38

tgoop.com/sec_devops/338

Create: 2020-10-12
Last Update: 2025-07-29 18:49:09

A Tale of Escaping a Hardened Docker container

Как многим известно, docker.sock крайне не рекомендуется пробрасывать внутрь Docker контейнера согласно CIS. Это может значительно упростить жизнь злоумышленнику для побега за пределы контейнера, но CIS не дает советов как обезопасить подобный сценарий, если "ну очень надо". Так, например, одна организация решила пробрасывать в контейнер некий somethtingelse.sock с аутентификацией и авторизацией на Reverse Proxy для работы с docker.sock.

Статья посвящена обходу подобной архитектуры. На мой взгляд бага несколько глупая и, в принципе, данная архитектура может быть жизнеспособной. Тем не менее, статья хорошо показывает то, как может действовать злоумышленник.

P.S. В документации Docker есть отдельная страничка, посвященная защите docker.sock. Вот также ряд слайдов, которые помогут познакомиться с docker escape и механизмами ядра Linux для работы Docker.

https://www.redtimmy.com/a-tale-of-escaping-a-hardened-docker-container/

#docker #ops #attack

BY Security Wine (бывший - DevSecOps Wine)

Share with your friend now:
tgoop.com/sec_devops/338

Open in Telegram

Telegram News

Date: 2025-07-29|

Ng Man-ho, a 27-year-old computer technician, was convicted last month of seven counts of incitement charges after he made use of the 100,000-member Chinese-language channel that he runs and manages to post "seditious messages," which had been shut down since August 2020. In handing down the sentence yesterday, deputy judge Peter Hui Shiu-keung of the district court said that even if Ng did not post the messages, he cannot shirk responsibility as the owner and administrator of such a big group for allowing these messages that incite illegal behaviors to exist. You can invite up to 200 people from your contacts to join your channel as the next step. Select the users you want to add and click “Invite.” You can skip this step altogether. Developing social channels based on exchanging a single message isn’t exactly new, of course. Back in 2014, the “Yo” app was launched with the sole purpose of enabling users to send each other the greeting “Yo.” Telegram Channels requirements & features
from us

Telegram Security Wine (бывший - DevSecOps Wine)
FROM American