Контейнерная служба

Злоумышленники могут создавать или изменять инструменты управления контейнерами или кластерами контейнеров, которые работают как демоны, агенты или службы на отдельных узлах. Сюда входит программное обеспечение для создания и управления отдельными контейнерами, такое как Docker и Podman, а также агенты уровня узлов кластера контейнеров, такие как kubelet. Изменяя эти службы, злоумышленник может достичь закрепления или повысить свои привилегии на узле. Например, используя команду `docker run` или `podman run` с директивой `restart=always`, контейнер может быть настроен на постоянную перезагрузку на узле. Пользователь с доступом к команде docker (с правами root) также может повысить свои привилегии на узле. В средах Kubernetes DaemonSets позволяют злоумышленнику постоянно развертывать контейнеры на всех узлах, включая те, которые добавлены позже в кластер. Поды также могут быть развернуты на конкретных узлах с использованием полей `nodeSelector` или `nodeName` в спецификации пода. Обратите внимание, что контейнеры также могут быть настроены для запуска в качестве службы Systemd.