Configurações inseguras em contêineres estão abrindo caminho para cibercriminosos comprometerem ambientes Docker e Kubernetes, com risco de escape para o sistema hospedeiro e controle de recursos críticos da infraestrutura.
O problema não está apenas em falhas de software, mas em permissões excessivas, APIs expostas, segredos mal protegidos e imagens de origem duvidosa. Em ambientes de nuvem e DevOps, uma configuração incorreta pode transformar um contêiner isolado em ponto de entrada para ataques mais amplos.
Um dos cenários mais perigosos envolve contêineres executados em modo privilegiado. Essa opção amplia capacidades do Linux e pode dar ao processo dentro do contêiner acesso quase equivalente ao root no host, enfraquecendo a barreira de isolamento.
Capacidades como CAP_SYS_ADMIN, CAP_SYS_MODULE, CAP_SYS_PTRACE e CAP_NET_ADMIN também podem ser abusadas quando atribuídas sem necessidade. Combinadas com opções como hostPID, hostNetwork ou montagens hostPath, elas permitem interação direta com processos, rede e arquivos do sistema hospedeiro.
No Docker, uma API exposta sem autenticação pode entregar controle remoto do host a um invasor. No Kubernetes, tokens roubados, permissões RBAC amplas e service accounts mal configuradas podem permitir criação de pods privilegiados e movimentação dentro do cluster.
Para reduzir o risco, as empresas devem evitar contêineres privilegiados, aplicar privilégio mínimo, proteger APIs, revisar políticas RBAC, restringir montagens sensíveis e validar imagens antes da implantação. Pipelines de CI/CD também devem ser tratados como parte central da superfície de ataque.
