逃逸到主机

对手可能会突破容器以访问底层主机。这可以使对手从主机级别访问其他容器化资源或访问主机本身。原则上，容器化资源应提供应用程序功能的明确分离，并与主机环境隔离。(引用: Docker Overview) 对手可能通过多种方式逃逸到主机环境。例如，创建一个配置为使用绑定参数挂载主机文件系统的容器，这允许对手在主机上放置有效负载并执行控制实用程序，例如 cron；利用特权容器在底层主机上运行命令或加载恶意内核模块；或滥用系统调用，例如 unshare 和 keyctl 以提升权限并窃取秘密。(引用: Docker Bind Mounts)(引用: Trend Micro Privileged Container)(引用: Intezer Doki July 20)(引用: Container Escape)(引用: Crowdstrike Kubernetes Container Escape)(引用: Keyctl-unmask) 此外，对手可能能够利用挂载的容器管理套接字（例如 docker.sock）的受损容器，通过容器管理命令突破容器。(引用: Container Escape) 对手还可能通过特权提升利用逃逸，例如利用全局符号链接中的漏洞以访问主机机器的根目录。(引用: Windows Server Containers Are Open) 访问主机可能为对手提供实现后续目标的机会，例如建立持久性、在环境中横向移动、访问主机上运行的其他容器或在主机上设置命令和控制通道。