Docker socket abuse
/var/run/docker.sock montado dentro del container o en host con permisos de grupo docker para usuario raso.
Categoría: Linux · Privilege Escalation 🎯 Trinchera —/var/run/docker.sock montado dentro del
container o en host con permisos de grupo docker para usuario
raso. El socket equivale a root: lanzas un container que monta /
del host y chroot, fin del juego.
🔗 Kill chain — docker run -v /:/host -it alpine chroot /host bash →
shell root del host. Variante: usuario en grupo docker siempre =
root vía esto.
📡 Huella defensiva — Containers con bind mount de /,
miembros nuevos del grupo docker, dockerd recibiendo
solicitudes desde container.
⚠️ Falso amigo — --privileged no es necesario; sólo el bind
del socket basta.
🛡️ Remediación — Nunca grupo docker para usuarios no-admin,
no montar docker.sock en containers, usar Podman rootless o
Sysbox.
← Volver al glosario completo Última actualización: 2026-06-11