Saltar al contenido principal

Container escape (root + cap_sys_admin)

Container con —privileged o cap_sys_admin puede montar el filesystem del host (mount /dev/sda1 /mnt), acceder al kernel, escapar via release_agent abuse, etc.

Categoría: Container & Kubernetes 🎯 Trinchera — Container con --privileged o cap_sys_admin puede montar el filesystem del host (mount /dev/sda1 /mnt), acceder al kernel, escapar via release_agent abuse, etc. 🔗 Kill chaincat /proc/1/status | grep Cap → si CapEff: 0000003fffffffff (todo) → escape trivial:
  1. Crear cgroup release_agent script.
  2. Trigger via cgroup notify.
  3. Script ejecuta como root del host.
📡 Huella defensivaFalco detecta chroot() desde container, modificación de release_agent, mount de filesystems sensibles. ⚠️ Falso amigo--privileged no siempre se aplica explícito. Hay flags equivalentes (CAP_SYS_ADMIN + bind /sys + …). 🛡️ Remediación — Política de admisión Pod Security Standards (restricted), nunca privileged: true, capabilities allowlist estricto.
Volver al glosario completo Última actualización: 2026-06-11