B
今週中
DockerおよびKubernetesの構成ミスを悪用して、コンテナからホストシステムへ脱出(コンテナエスケープ)し、権限を昇格させる攻撃が確認されています
📌 一言でいうと
DockerおよびKubernetesの構成ミスを悪用して、コンテナからホストシステムへ脱出(コンテナエスケープ)し、権限を昇格させる攻撃が確認されています。攻撃者は特権フラグ(privileged flag)や不適切なLinuxケーパビリティ(CAP_SYS_ADMIN等)の設定を悪用し、ホストのルート権限を奪取します。また、TeamPCPなどのAPTグループがサプライチェーン攻撃を通じてKubernetesの認証情報を窃取し、インフラ全体を制御下に置く事例も報告されています。
🔍該当判定
- 自社のサーバーで Docker または Kubernetes を利用してアプリケーションを運用している
- Dockerコンテナを起動する際、設定ファイルやコマンドで「--privileged」フラグを有効にしている
- Kubernetesの設定で「hostPath」を使用して、コンテナから宿主機のディレクトリに直接アクセスさせている
- コンテナ設定で「hostNetwork: true」や「hostPID: true」などの特権的なネットワーク・プロセス共有設定を有効にしている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. コンテナ実行時の '--privileged' フラグの使用を禁止し、最小権限の原則を適用すること。 2. 不要なLinuxケーパビリティ(CAP_SYS_ADMIN, CAP_SYS_MODULE, CAP_SYS_PTRACE等)を削除すること。 3. hostPath、hostPID、hostNetwork などのホスト共有設定を厳格に制限すること。 4. Kubernetes APIサーバーへのアクセス制御を強化し、ServiceAccountトークンの管理を徹底すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Docker/Kubernetes 構成ミスによるコンテナエスケープへの対応について
お疲れさまです。コンテナ環境のセキュリティ設定に関する情報共有です。
■ 概要
DockerおよびKubernetesの不適切な設定(特権モードの有効化や過剰なケーパビリティ付与)を悪用し、攻撃者がコンテナからホストOSへ脱出する攻撃が観測されています。これにより、ホスト上のルート権限奪取や機密情報の窃取が行われるリスクがあります。
■ 影響範囲
- Docker / Kubernetes 環境
- 特に特権コンテナ(privileged: true)や、ホスト名前空間を共有している設定の環境
■ 対応手順
1. 実行中のコンテナで '--privileged' フラグが使用されていないか確認し、不要な場合は削除してください。
2. CAP_SYS_ADMIN, CAP_SYS_MODULE 等の危険なケーパビリティが個別に付与されていないかレビューしてください。
3. hostPath, hostPID, hostNetwork の設定を最小限に制限してください。
4. Kubernetes APIサーバーの公開設定および認証・認可設定(RBAC)を再点検してください。
■ 参考情報
- Securelist / CSN 報告書
対応優先度: 高
対応期限: 次回メンテナンス時まで
お疲れさまです。コンテナ環境のセキュリティ設定に関する情報共有です。
■ 概要
DockerおよびKubernetesの不適切な設定(特権モードの有効化や過剰なケーパビリティ付与)を悪用し、攻撃者がコンテナからホストOSへ脱出する攻撃が観測されています。これにより、ホスト上のルート権限奪取や機密情報の窃取が行われるリスクがあります。
■ 影響範囲
- Docker / Kubernetes 環境
- 特に特権コンテナ(privileged: true)や、ホスト名前空間を共有している設定の環境
■ 対応手順
1. 実行中のコンテナで '--privileged' フラグが使用されていないか確認し、不要な場合は削除してください。
2. CAP_SYS_ADMIN, CAP_SYS_MODULE 等の危険なケーパビリティが個別に付与されていないかレビューしてください。
3. hostPath, hostPID, hostNetwork の設定を最小限に制限してください。
4. Kubernetes APIサーバーの公開設定および認証・認可設定(RBAC)を再点検してください。
■ 参考情報
- Securelist / CSN 報告書
対応優先度: 高
対応期限: 次回メンテナンス時まで
Subject: [Security Alert] Mitigating Container Escape via Docker/Kubernetes Misconfigurations
Dear IT/Security Team,
We are sharing critical information regarding container escape vulnerabilities resulting from misconfigurations in Docker and Kubernetes.
■ Overview
Attackers are exploiting insecure default settings and misconfigurations—specifically the 'privileged' flag and excessive Linux capabilities—to break out of containers and gain root access to the underlying host system. This allows for full system compromise and lateral movement within the infrastructure.
■ Scope
- Docker and Kubernetes environments
- Specifically those utilizing privileged containers or sharing host namespaces (PID, Network, etc.)
■ Mitigation Steps
1. Audit and disable the use of the '--privileged' flag in container runtimes.
2. Review and remove unnecessary Linux capabilities (e.g., CAP_SYS_ADMIN, CAP_SYS_MODULE, CAP_SYS_PTRACE).
3. Restrict the use of hostPath, hostPID, and hostNetwork settings.
4. Harden the Kubernetes API server access and review RBAC policies for ServiceAccounts.
■ Reference
- Securelist / CSN Reports
Priority: High
Deadline: Next maintenance window
Dear IT/Security Team,
We are sharing critical information regarding container escape vulnerabilities resulting from misconfigurations in Docker and Kubernetes.
■ Overview
Attackers are exploiting insecure default settings and misconfigurations—specifically the 'privileged' flag and excessive Linux capabilities—to break out of containers and gain root access to the underlying host system. This allows for full system compromise and lateral movement within the infrastructure.
■ Scope
- Docker and Kubernetes environments
- Specifically those utilizing privileged containers or sharing host namespaces (PID, Network, etc.)
■ Mitigation Steps
1. Audit and disable the use of the '--privileged' flag in container runtimes.
2. Review and remove unnecessary Linux capabilities (e.g., CAP_SYS_ADMIN, CAP_SYS_MODULE, CAP_SYS_PTRACE).
3. Restrict the use of hostPath, hostPID, and hostNetwork settings.
4. Harden the Kubernetes API server access and review RBAC policies for ServiceAccounts.
■ Reference
- Securelist / CSN Reports
Priority: High
Deadline: Next maintenance window