Docker Socket Sicherheit: Ein Leitfaden zu kritischen Schwachstellen

Das Offenlegen des Docker-Daemon-Sockets über einen ungesicherten TCP-Port ist eine der schwerwiegendsten Sicherheitsfehlkonfigurationen, die Sie vornehmen können. Es ist nicht nur eine Schwachstelle; es ist eine direkte, unauthentifizierte Zugangstür zu einer Root-Shell auf Ihrem Host-System. Das bedeutet, dass jeder, der diesen offenen Port im Internet findet, die vollständige Kontrolle über Ihren Server, seine Daten und alle laufenden Dienste erlangen kann.

Dieser Artikel bietet eine ausführliche Analyse dieses schweren Risikos. Wir erklären, was der Docker-Socket ist, demonstrieren, wie leicht ein Angreifer ihn ausnutzen kann, um Root-Zugriff zu erlangen, und behandeln die wichtigsten Sicherheitsmaßnahmen, die Sie implementieren müssen, um Ihre Infrastruktur zu schützen.

Was ist der Docker Socket? Die Macht und die Gefahr

Um die Gefahr zu verstehen, müssen wir zunächst die Architektur von Docker selbst kennen. Im Kern ist das der Docker-Daemon (dockerd), ein persistenter Hintergrunddienst, der alle schweren Aufgaben übernimmt: Container bauen und ausführen, Images verwalten, Speicher und Netzwerk verwalten und mehr. Damit Sie mit dieser leistungsstarken Engine interagieren können, benötigen Sie eine Möglichkeit, Befehle zu senden. Hier kommt der Docker-Socket ins Spiel.

Die primäre Schnittstelle für den Docker-Daemon ist eine API. Standardmäßig hört der Daemon auf einem Unix-Socket unter /var/run/docker.sock. Wenn Sie einen Befehl wie docker ps oder docker run eingeben, führt der Docker-CLI-Client nicht die Aktion selbst aus. Stattdessen verpackt er Ihre Anfrage und sendet sie über diesen Socket an den Docker-Daemon.

Stellen Sie sich den Docker-Socket als das zentrale Kontrollpanel für Ihr gesamtes Docker-Ökosystem vor. Jeder Nutzer oder Prozess mit Schreibrechten auf diesen Socket hat vollständige, uneingeschränkte Kontrolle über den Docker-Daemon.

Während der Standard-Unix-Socket für die lokale Nutzung sicher ist (seine Berechtigungen werden vom Betriebssystem verwaltet), sind Entwickler und Systemadministratoren oft versucht, die Docker-API über einen TCP-Port zu exponieren, meist Port 2375 (für unverschlüsselte Verbindungen) oder Port 2376 (für verschlüsselte TLS-Verbindungen). Der Beweggrund ist meist Bequemlichkeit:

• Remote-Management: Kontrolle eines Docker-Hosts von einem anderen Rechner aus, ohne sich vorher per SSH einzuloggen.
• CI/CD-Pipelines: Tools wie Jenkins oder GitLab CI bauen Images und deployen Container auf entfernten Build-Agents.
• Container-Orchestrierung: Bereitstellung eines Endpunkts für Management-Tools oder einfache Orchestrierungsskripte.

Das Offenlegen dieses API über einen ungesicherten TCP-Port (tcp://0.0.0.0:2375) ist ein katastrophaler Fehler. Da der Docker-Daemon mit Root-Rechten auf dem Host läuft, entspricht der Zugriff auf seine API dem Zugriff auf den Host selbst mit Root-Rechten.

Das Kernproblem: Warum ist der Socket so gefährlich?

Das zentrale Problem ist eine einfache, entscheidende Tatsache: Der Docker-Daemon läuft als Root-Benutzer.

Jeder Befehl, den er ausführt, jedes Container-Starten und jede Dateisystemmanipulation erfolgt mit höchster Privilegienstufe auf dem Host. Wenn Sie Zugriff auf den Docker-Socket gewähren, erlauben Sie nicht nur jemandem, Container auszuführen; Sie erlauben es ihnen, Container als Root zu starten. Das ermöglicht Aktionen, die die Isolierung des Containers durchbrechen und direkt das Host-System manipulieren.

Das mächtigste Werkzeug, das ein Angreifer missbrauchen kann, ist das Volume-Mounting. Docker erlaubt es einem Container, ein Verzeichnis vom Host-Dateisystem in den Container zu mounten. Es gibt kein Verzeichnis, auf das der Docker-Daemon keinen Zugriff hätte. Ein Angreifer mit Zugriff auf den Socket kann einfach einen neuen Container starten und das gesamte Root-Dateisystem (/) des Hosts darin mounten.

Sobald das Host-Dateisystem im Container gemountet ist, ist das Spiel vorbei. Der Angreifer hat volle Lese-, Schreib- und Ausführungsrechte auf alle Dateien auf Ihrem Server, inklusive /etc/shadow (wo Passwort-Hashes gespeichert sind), Nutzer-Home-Verzeichnisse, SSH-Schlüssel, Anwendungsquellcode und System-Binaries.

Klare Ansage: Zugriff auf den Docker-Socket bedeutet Root-Zugriff auf den Host. Es gibt keinen Unterschied.

Aufbau eines Angriffs: Vom offenen Port zur Root-Shell

Die erschreckende Realität ist, dass das Ausnutzen eines offenen Docker-Sockets keine komplexen Tools oder Zero-Day-Schwachstellen erfordert. Es nutzt die beabsichtigte Funktionalität von Docker und kann mit dem Docker-CLI in wenigen Minuten durchgeführt werden.

Schritt 1: Entdeckung

Der erste Schritt für einen Angreifer ist die Suche nach einem Ziel. Er nutzt internetweite Scanner wie Shodan oder Nmap, um Hosts mit offenem Port 2375 zu finden. Eine einfache Shodan-Abfrage wie `port:2375