CentOS/RHEL向け信頼性の高い非特権コンテナ脱出の概念実証
このプロジェクトは、CentOS/RHEL環境におけるIPV6フラグメント処理の脆弱性を悪用し、非特権コンテナからホストシステムへの脱出を実現する概念実証コードです。特定のカーネルバージョンで動作し、コンテナの隔離機構を回避する手法を示しています。
背景メモ
- このPoC(概念実証)は、CentOS/RHEL系Linuxで非特権コンテナ(ユーザー名前空間で隔離されたコンテナ)からホストへの脱出(エスケープ)を実現する。
- 原因はIPv6フラグメンテーション処理のカーネルバグ(CVE未確定)。細工したIPv6パケットをコンテナから送信し、ホストのメモリを破壊して権限昇格を得る。
- コンテナエスケープは隔離の根本的突破であり、クラウドやKubernetes環境で深刻な侵害につながる。
- CentOS/RHELは企業・サーバー用途で広く使われており、この影響範囲は大きい。対象カーネルは3.10系(RHEL7 / CentOS7)。
- この手法は非特権コンテナでも動作する点が特筆される。通常、非特権コンテナはホストへの攻撃経路が限られるため、セキュリティ境界として広く利用されている。