Pentesting en Contenedores Docker

Docker se ha disparado en entornos empresariales por su eficiencia, portabilidad y velocidad. Sin embargo, esta popularidad también ha captado la atención de los ciberdelincuentes. Lo que muchos desconocen es que malconfigurar o no asegurar adecuadamente estas herramientas puede abrir una puerta trasera peligrosa en los sistemas empresariales. En este post, exploraremos cómo realizar un pentest a entornos Docker, detectar vulnerabilidades en imágenes, endurecer configuraciones y utilizar contenedores como herramientas de hacking ético.

Arquitectura de Docker: el punto de partida

Docker funciona bajo un modelo cliente-servidor. Los componentes clave son:

• Docker Daemon: administra redes, volúmenes, imágenes y contenedores.

• Docker CLI: interfaz que permite interactuar mediante comandos.

• Docker API: medio por el cual Daemon y CLI se comunican, ya sea vía Unix o TCP socket.

Esta arquitectura permite que, si la API está expuesta por TCP en puertos como 2375 o 2376, cualquier atacante que la detecte (por ejemplo, con herramientas como Shodan) pueda manipular remotamente contenedores, imágenes y redes del sistema.

API de Docker: una vía de abuso común

Habilitar la API de Docker para acceso remoto puede facilitar mucho la administración, pero también implica enormes riesgos si no se hace con medidas de seguridad. Una vez que el puerto (como el 2375) está expuesto, un atacante puede ejecutar comandos como:

Esto le permitiría acceder a contenedores en ejecución, instalar malware o incluso aprovechar exploits para escapar del contenedor y comprometer el sistema host.

Análisis de vulnerabilidades de imágenes

1. Clair Scanner

Clair es una herramienta open source creada por CoreOS que permite escanear imágenes Docker en busca de vulnerabilidades conocidas. Se basa en análisis estático y es ideal para integrarse en pipelines de CI/CD.

Pasos clave:

• Instalar golang y clonar el repositorio de clair-scanner.

• Ejecutar contenedores de Clair y su base de datos.

• Escanear una imagen (por ejemplo, ubuntu:16.04) y generar un reporte JSON.

El resultado puede mostrar decenas de vulnerabilidades no parchadas. Esta información permite tomar decisiones sobre si usar o no esa imagen en producción.

Hardening de contenedores: Docker Bench Security

La herramienta Docker Bench for Security, basada en el benchmark de CIS, permite verificar si se están siguiendo buenas prácticas de seguridad. El escaneo incluye configuraciones de host, daemon, imágenes, contenedores en ejecución y más.

Un ejemplo típico de mala práctica es correr contenedores como root. Esta herramienta alertará sobre ello, y sugiere reiniciar el contenedor con un usuario sin privilegios:

Después de hacer esto, se puede volver a correr Docker Bench y confirmar que el problema fue corregido.

Framework de Pentesting en Docker

Una de las mayores ventajas de Docker es que también puedes montar tu propio laboratorio de pentesting, empaquetando herramientas en contenedores que son fácilmente desplegables y reproducibles.

Herramientas destacadas:

• WPScan: detección de vulnerabilidades en WordPress.

  docker run -it --rm wpscanteam/wpscan --url http://192.168.1.105/wordpress/


• SQLMap: detección de inyecciones SQL.

  docker run -it googlesky/sqlmap -u http://testphp.vulnweb.com/artists.php?artist=1 --dbs --batch


• DirBuster: para enumerar directorios web ocultos.

  docker run -it hypnza/dirbuster -u http://testphp.vulnweb.com/


• Nmap: escaneo de redes.

  docker run --rm -it instrumentisto/nmap -sV 192.168.1.108


• Python HTTP Server: transferencia rápida de archivos entre sistemas.

  docker run -d -v /tmp/:/var/www:ro -p 5555:8080 trinitronx/python-simplehttpserver


• John the Ripper: cracking de contraseñas.

  docker run --rm -it -v ${PWD}:/root obscuritylabs/johntheripper --format=NT /root/hash


• Metasploit: entorno completo de explotación.

  docker run --rm -it -p 443:443 -v ${PWD}:/root/.msf4 metasploitframework/metasploit-framework


• PowerShell Empire: post-explotación en entornos Windows.

  docker run --rm -it -p 443:443 -v ${PWD}:/root/empire bcsecurity/empire


• Impacket Toolkit: herramientas esenciales para pentest en redes Windows.

  docker run --rm -it -p 445:445 rflathers/impacket psexec.py dominio/usuario:clave@ip


Docker ha revolucionado la forma en que desarrollamos y desplegamos aplicaciones, pero no está exento de riesgos. Una mala configuración de la API o el uso de imágenes vulnerables puede ser catastrófico. Sin embargo, con las herramientas adecuadas, no solo podemos protegernos, sino también utilizar Docker como un laboratorio flexible y potente para el hacking ético.

Como profesionales de la ciberseguridad, entender la arquitectura de Docker, escanear imágenes, endurecer configuraciones y emplearlo como entorno de pruebas, es esencial para garantizar entornos seguros y robustos.

?️ #Ciberseguridad ? #Docker ? #Pentesting ? #SeguridadContenedores ? #Vulnerabilidades ? #Hardening ? #LaboratorioHacking ? #HerramientasEthicalHacking ? #APIExpuesta ? #ConocimientoSeguro