<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Docker on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</title><link>https://hackita.it/tags/docker/</link><description>Recent content in Docker on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</description><generator>Hugo</generator><language>it</language><lastBuildDate>Thu, 26 Feb 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://hackita.it/tags/docker/index.xml" rel="self" type="application/rss+xml"/><item><title>Container Escape in Docker e Kubernetes: Privilege Escalation</title><link>https://hackita.it/articoli/container-escape/</link><pubDate>Thu, 26 Feb 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/container-escape/</guid><description>&lt;blockquote&gt;
&lt;p&gt;&lt;strong&gt;Executive Summary&lt;/strong&gt; — Il container escape è il processo di uscita da un container (Docker, Kubernetes, Podman, LXC) per ottenere accesso al sistema host sottostante. Nel pentest moderno, compromettere un&amp;rsquo;applicazione spesso significa finire dentro un container — e da lì il confine tra te e l&amp;rsquo;host è più sottile di quanto si pensi. Un container &amp;ldquo;privilegiato&amp;rdquo;, un socket Docker montato, una capability Linux eccessiva o un kernel non patchato sono tutti vettori per l&amp;rsquo;escape. In Kubernetes, l&amp;rsquo;escape da un pod può dare accesso all&amp;rsquo;intero cluster. Il container escape è il privilege escalation del mondo cloud-native.&lt;strong&gt;TL;DR&lt;/strong&gt;
• Container privilegiato (&lt;code&gt;--privileged&lt;/code&gt;) = quasi sempre root-equivalente sul nodo: accesso ai device, molte capability abilitate, possibile montare filesystem/namespace dell’host (escape facile se combinato con mount/daemon).
• Socket Docker montato (&lt;code&gt;/var/run/docker.sock&lt;/code&gt;) = controllo completo del Docker daemon: puoi avviare un container e montare &lt;code&gt;/&lt;/code&gt; dell’host, ottenendo accesso al filesystem host.
• Capabilities Linux eccessive (&lt;code&gt;CAP_SYS_ADMIN&lt;/code&gt;, &lt;code&gt;CAP_SYS_PTRACE&lt;/code&gt;, &lt;code&gt;CAP_DAC_READ_SEARCH&lt;/code&gt;) = superfici d’attacco extra: mount/namespace abuse, ptrace su processi, bypass letture su file/dir → escape/abusi specifici per capability.&lt;/p&gt;</description></item></channel></rss>