Segurança em Docker Multiusuário: Avaliação de Riscos de Privilege Escalation e Data Tampering
Resumo
O uso do Docker em ambientes multiusuário cresceu significativamente devido à sua eficiência e portabilidade. Contudo, configurações inseguras, como a permissão de acesso ao grupo docker, introduzem vulnerabilidades críticas que permitem ataques de Escalonamento de Privilégios e Violação de Integridade (Data Tampering). Este trabalho investiga esses riscos por meio de um estudo de caso no IFMG, onde foi identificado o uso inadequado do docker.sock em estações compartilhadas. Para quantificar essa exposição, propõe-se o Índice de Exposição à Violação de Integridade (IEVI), uma métrica baseada no framework DREAD que consolida dimensões de risco em um escore quantitativo. Complementarmente, apresenta-se a ferramenta IntegrityGuard, responsável por automatizar a detecção de vulnerabilidades e a execução de testes controlados. A avaliação experimental considera cenários vulneráveis e mitigados, analisando o impacto de diferentes configurações. Os resultados demonstram que a adoção do modo Docker Rootless reduz drasticamente a superfície de ataque, diminuindo o IEVI de 100 para 32 e limitando a exploração de ataques críticos. Esses achados reforçam a importância do princípio do menor privilégio e evidenciam a efetividade de abordagens alinhadas ao modelo Zero Trust em infraestruturas compartilhadas.Referências
Docker, I. (2026). Docker documentation. [link].
Jarkas, O., Ko, R., Dong, N., and Mahmud, R. (2025). A container security survey: Exploits, attacks, and defenses. ACM Computing Surveys, 57(7):1–36.
Merkel, D. et al. (2014). Docker: lightweight linux containers for consistent development and deployment. Linux j, 239(2):2.
Raftopoulos, C. (2025). Cloud security with docker and kubernetes. Master’s thesis, Πανεπιστ ήµιo Πειραιώς.
Rajyashree, R., Mathi, S., Saravanan, G., and Sakthivel, M. (2024). An empirical investigation of docker sockets for privilege escalation and defensive strategies. Procedia Computer Science, 233:660–669.
Shostack, A. (2014). Threat modeling: Designing for security. John wiley & sons.
Sultan, S., Ahmad, I., and Dimitriou, T. (2019). Container security: Issues, challenges, and the road ahead. IEEE Access, 7:52976–52996.
VS, D. P., Sethuraman, S. C., and Khan, M. K. (2023). Container security: precaution levels, mitigation strategies, and research perspectives. Computers & Security, 135:103490.
Wong, A. Y., Chekole, E. G., Ochoa, M., and Zhou, J. (2023). On the security of containers: Threat modeling, attack analysis, and mitigation strategies. Computers & Security, 128:103140.
Jarkas, O., Ko, R., Dong, N., and Mahmud, R. (2025). A container security survey: Exploits, attacks, and defenses. ACM Computing Surveys, 57(7):1–36.
Merkel, D. et al. (2014). Docker: lightweight linux containers for consistent development and deployment. Linux j, 239(2):2.
Raftopoulos, C. (2025). Cloud security with docker and kubernetes. Master’s thesis, Πανεπιστ ήµιo Πειραιώς.
Rajyashree, R., Mathi, S., Saravanan, G., and Sakthivel, M. (2024). An empirical investigation of docker sockets for privilege escalation and defensive strategies. Procedia Computer Science, 233:660–669.
Shostack, A. (2014). Threat modeling: Designing for security. John wiley & sons.
Sultan, S., Ahmad, I., and Dimitriou, T. (2019). Container security: Issues, challenges, and the road ahead. IEEE Access, 7:52976–52996.
VS, D. P., Sethuraman, S. C., and Khan, M. K. (2023). Container security: precaution levels, mitigation strategies, and research perspectives. Computers & Security, 135:103490.
Wong, A. Y., Chekole, E. G., Ochoa, M., and Zhou, J. (2023). On the security of containers: Threat modeling, attack analysis, and mitigation strategies. Computers & Security, 128:103140.
Publicado
25/05/2026
Como Citar
MIRANDA, Lucas Da Costa; GARROCHO, Charles Tim Batista.
Segurança em Docker Multiusuário: Avaliação de Riscos de Privilege Escalation e Data Tampering. In: WORKSHOP DE GERÊNCIA E OPERAÇÃO DE REDES E SERVIÇOS (WGRS), 31. , 2026, Praia do Forte/BA.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2026
.
p. 183-196.
ISSN 2595-2722.
DOI: https://doi.org/10.5753/wgrs.2026.21762.
