微服務架構的簡易性與彈性，已使得越來越多企業機構開始採用微服務。事實上，根據一份 2019 年調查指出，89% 的技術領導人認為，微服務是企業在不斷演變的數位世界維持競爭力的必要關鍵。隨著越來越多開發人員在企業內及雲端服務內部署容器，一些關鍵資料一不小心就可能因為資安控管不良而暴露在外，成為歹徒覬覦的目標。我們持續發現各種針對微服務組態設定錯誤的攻擊，例如：在暴露在外的 Redis 執行個體當中發現虛擬加密貨幣挖礦惡意程式，以及歹徒經由 Docker Hub 社群提供容器映像來散布惡意容器。

我們曾在某起攻擊當中發現虛擬加密貨幣挖礦程式會搜尋受害的 Linux 系統上是否有其他現有的挖礦程式並將它們清除，藉此獨占所有系統運算資源。從這起攻擊就能看出歹徒對於 Docker 和 Redis 的熟悉度，他們專門蒐尋這些平台所暴露的應用程式開發介面 (API)。不過接下來我們要探討的是一個截然不同的案例，駭客精心製作了一個專門用來跳脫特權容器 (privileged container) 的惡意程式，跳脫成功之後就能取得主機電腦的所有系統管理 (root) 權限。有一點很重要且須注意的是，Docker 在預設情況下並不會自動配置特權容器，而絕大多數的 Docker 使用者所用的都不是特權容器，這也證明使用特權容器卻不知如何正確加以保護是不智之舉。

技術層面分析

2019 年 7 月，Google Security Team 研究員 Felix Wilhelm 在 Twitter 上發文公布了一種概念驗證 (PoC) 攻擊展示如何利用  cgroups release_agent 功能就能輕而易舉跳脫一個 Docker 特權容器，或 Kubernetes Pod。