漏洞-libnss_*.so库导致容器逃逸

今天在研判告警的时候，出现了libnss_*.so文件被dpkg进程修改的高危行为，找了一些资料看，记录一下

dpkg进程是debian系统管理软件包的进程，libnss_*.so作为一个敏感文件被修改，可能是容器内出现了权限提升导致的容器逃逸

漏洞：CVE-2019-14271

参考新闻：Docker cp命令可导致容器逃逸攻击漏洞
Copy命令允许从容器、向容器中、或容器之间复制文件。语法与标准的unix cp命令非常相似。要从容器中复制/var/logs，语法是docker cp container_name:/var/logs /some/host/path。

可能的攻击场景有Docker用户从另一个Docker处复制文件：

• 容器运行含有恶意libnss_*.so库的镜像
• 容器中含有被攻击者替换的libnss_*.so库

在这两种情况下，攻击者都可以获取主机上的root代码执行权限。

漏洞利用

参考文章：CVE-2019-14271 漏洞利用