OpenShift - Missing Service Account
Last updated
Last updated
Es kommt vor, dass ein Cluster mit einer vordefinierten Vorlage bereitgestellt wird, die automatisch Rollen, Rollenbindungen und sogar SCC auf ein Service-Konto setzt, das noch nicht erstellt wurde. Dies kann zu einem Privileg-Eskalation führen, falls Sie diese erstellen können. In diesem Fall könnten Sie das Token des neu erstellten SA und die zugehörige Rolle oder SCC erhalten. Das gleiche Szenario tritt auf, wenn das fehlende SA Teil eines fehlenden Projekts ist. In diesem Fall, wenn Sie das Projekt und dann das SA erstellen können, erhalten Sie die zugehörigen Rollen und SCC.
Im obigen Diagramm haben wir mehrere AbsentProject, was bedeutet, dass mehrere Projekte in Rollenbindungen oder SCC erscheinen, aber noch nicht im Cluster erstellt wurden. Ebenso haben wir ein AbsentServiceAccount.
Wenn wir ein Projekt und das fehlende SA darin erstellen können, wird das SA von der Rolle oder dem SCC geerbt, die auf das AbsentServiceAccount abzielten. Dies kann zu einer Privileg-Eskalation führen.
Das folgende Beispiel zeigt ein fehlendes SA, dem der node-exporter SCC zugewiesen ist:
Das folgende Tool kann verwendet werden, um dieses Problem aufzulisten und allgemein einen OpenShift-Cluster zu visualisieren: