Gorsair es una herramienta de prueba de penetración para detectar y acceder de forma remota a las API de Docker desde contenedores de Docker vulnerables. Una vez que tenga acceso al demonio de Docker, puede usar Gorsair para ejecutar comandos en contenedores remotos directamente.
Exponer la API de Docker a Internet es un gran riesgo, ya que los agentes malintencionados pueden obtener información sobre todos los demás contenedores, imágenes y sistemas, y posiblemente obtener acceso privilegiado a todo el sistema si la imagen es la root
Usuario.
Instalar
De una publicación
Configure lo siguiente:
GORSAIR_VERSION
para cada publicación que le intereseOS
a su sistema operativolinux
,windows
odarwin
)ARCH
a tu arquitecturaamd64
,arm
, oppc64le
)
Luego ejecute el siguiente comando para instalar gorsair.
curl -sS https://github.com/Ullaakut/Gorsair/releases/download/$GORSAIR_VERSION/gorsair_$OS_$ARCH –output / usr / local / bin / gorsair && chmod + x / usr / local / bin / gorsair
De las fuentes
- Asegúrese de tener una versión de Go que admita módulos (versiones 1.11 y superiores)
- Asegúrese de que su entorno sea compatible
GO111MODULE
Variable establecida enon
- Correr
go build -o /usr/local/bin/gorsair cmd/*.go
desde la raíz de este repositorio
Opciones de línea de comando
-t
,--targets
: Establece objetivos de acuerdo con el formato de objetivo nmap. Requerido. Ejemplo:--targets="192.168.1.72,192.168.1.74"
-p
,--ports
: (Defecto:2375,2376
) Establecer puertos personalizados.-s
,--speed
: (Defecto:4
) Establezca preferencias personalizadas de detección de nmap para una mejor velocidad o precisión. Se recomienda disminuirlo si está intentando escanear una red inestable y lenta, o aumentarlo si está en una red muy poderosa y confiable. También es posible que desee mantenerlo bajo para mantener en secreto su descubrimiento. Puede encontrar más información sobre las plantillas de tiempo de nmap aquí.-v
,--verbose
: Habilita registros más detallados.-D
,--decoys
: Lista de direcciones IP de cebo para usar (consulte la sección de cebo de la documentación de nmap)-e
,--interface
: Interfaz de red que se utilizará--proxies
: Lista de proxies HTTP / SOCKS4 que se utilizarán para mostrar conexiones (consulte la documentación)-S
,--spoof-ip
: Dirección IP para suplantación de IP--spoof-mac
: Dirección MAC para la suplantación de MAC-v
,--verbose
: Habilita el registro detallado-h
,--help
: Ver información de uso
¿Cómo puedo proteger mis contenedores de este ataque?
- Evite colocar contenedores en Internet con acceso al conector Docker
- Evitar el uso de
root
Cuenta en contenedores Docker