今天在研判告警的时候,出现了libnss_*.so文件被dpkg进程修改的高危行为,找了一些资料看,记录一下
dpkg进程是debian系统管理软件包的进程,libnss_*.so作为一个敏感文件被修改,可能是容器内出现了权限提升导致的容器逃逸
漏洞:CVE-2019-14271
参考新闻:Docker cp命令可导致容器逃逸攻击漏洞
Copy命令允许从容器、向容器中、或容器之间复制文件。语法与标准的unix cp命令非常相似。要从容器中复制/var/logs,语法是docker cp container_name:/var/logs /some/host/path
。
可能的攻击场景有Docker用户从另一个Docker处复制文件:
- 容器运行含有恶意libnss_*.so库的镜像
- 容器中含有被攻击者替换的libnss_*.so库
在这两种情况下,攻击者都可以获取主机上的root代码执行权限。
漏洞利用
参考文章:CVE-2019-14271 漏洞利用
本页的评论功能已关闭