Kubernetes OPA Gatekeeper bypass
Last updated
Last updated
Die oorspronklike skrywer van hierdie bladsy is Guillaume
Om 'n oorsig te hê, kan help om te weet watter reëls aktief is, in watter modus en wie dit kan omseil.
ConstraintTemplate en Constraint kan in Open Policy Agent (OPA) Gatekeeper gebruik word om reëls op Kubernetes-hulpbronne af te dwing.
'n Grafiese gebruikerskoppelvlak mag ook beskikbaar wees om toegang te verkry tot die OPA-reëls met Gatekeeper Policy Manager. Dit is "n eenvoudige lees-slegs web UI om die status van OPA Gatekeeper-beleide in 'n Kubernetes-kluster te besigtig."
Soek na die blootgestelde diens :
Soos geïllustreer in die beeld hierbo, mag sekere reëls nie universeel toegepas word oor alle name ruimtes of gebruikers nie. In plaas daarvan werk hulle op 'n witlys-basis. Byvoorbeeld, die liveness-probe beperking is uitgesluit van toepassing op die vyf gespesifiseerde name ruimtes.
Met 'n omvattende oorsig van die Gatekeeper-konfigurasie, is dit moontlik om potensiële misconfigurasies te identifiseer wat uitgebuit kan word om voorregte te verkry. Soek na witlys of uitgeslote name ruimtes waar die reël nie van toepassing is nie, en voer dan jou aanval daar uit.
Abusing Roles/ClusterRoles in KubernetesNog 'n manier om beperkings te omseil, is om te fokus op die ValidatingWebhookConfiguration hulpbron :
Kubernetes ValidatingWebhookConfiguration