Abusing Roles/ClusterRoles in Kubernetes
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Hier finden Sie einige potenziell gefährliche Rollen- und Clusterrollen-Konfigurationen.
Denken Sie daran, dass Sie alle unterstützten Ressourcen mit kubectl api-resources
abrufen können.
Bezieht sich auf die Kunst, Zugriff auf ein anderes Subjekt innerhalb des Clusters mit anderen Berechtigungen (innerhalb des Kubernetes-Clusters oder zu externen Clouds) zu erhalten, als die, die Sie bereits haben. In Kubernetes gibt es im Wesentlichen 4 Haupttechniken zur Eskalation von Berechtigungen:
In der Lage sein, sich als andere Benutzer/Gruppen/SAs mit besseren Berechtigungen innerhalb des Kubernetes-Clusters oder zu externen Clouds auszugeben.
In der Lage sein, Pods zu erstellen/zu patchen/auszuführen, in denen Sie SAs mit besseren Berechtigungen innerhalb des Kubernetes-Clusters oder zu externen Clouds finden oder anhängen können.
In der Lage sein, Secrets zu lesen, da die SAs-Token als Secrets gespeichert sind.
In der Lage sein, aus einem Container auf den Knoten zu entkommen, wo Sie alle Secrets der auf dem Knoten laufenden Container, die Anmeldeinformationen des Knotens und die Berechtigungen des Knotens innerhalb der Cloud, in der er läuft (falls vorhanden), stehlen können.
Eine fünfte Technik, die erwähnt werden sollte, ist die Fähigkeit, Port-Forwarding in einem Pod auszuführen, da Sie möglicherweise auf interessante Ressourcen innerhalb dieses Pods zugreifen können.
Die Wildcard (*) gewährt Berechtigungen für jede Ressource mit jedem Verb. Sie wird von Administratoren verwendet. Innerhalb einer ClusterRole bedeutet dies, dass ein Angreifer jede Namespace im Cluster missbrauchen könnte.
In RBAC stellen bestimmte Berechtigungen erhebliche Risiken dar:
create
: Gewährt die Möglichkeit, jede Cluster-Ressource zu erstellen, was ein Risiko für die Privilegieneskalation darstellt.
list
: Ermöglicht das Auflisten aller Ressourcen, was potenziell sensible Daten leaken könnte.
get
: Erlaubt den Zugriff auf Geheimnisse von Dienstkonten, was eine Sicherheitsbedrohung darstellt.
Ein Angreifer mit den Berechtigungen zum Erstellen eines Pods könnte ein privilegiertes Service-Konto in den Pod anhängen und das Token stehlen, um das Service-Konto zu impersonieren. Dadurch werden die Berechtigungen effektiv erhöht.
Beispiel eines Pods, der das Token des bootstrap-signer
Service-Kontos stehlen und es an den Angreifer senden wird:
Die folgenden Punkte zeigen alle Berechtigungen, die ein Container haben kann:
Privilegierter Zugriff (Schutzmaßnahmen deaktivieren und Berechtigungen festlegen)
Deaktivieren von Namespaces hostIPC und hostPid, die helfen können, Berechtigungen zu eskalieren
Deaktivieren des hostNetwork-Namespaces, der Zugriff gewährt, um die Cloud-Berechtigungen der Knoten zu stehlen und besseren Zugang zu Netzwerken zu erhalten
Mounten von Hosts / innerhalb des Containers
Erstellen Sie das Pod mit:
Einzeiler aus diesem Tweet und mit einigen Ergänzungen:
Jetzt, da Sie zum Knoten entkommen können, überprüfen Sie die Post-Exploitation-Techniken in:
Sie möchten wahrscheinlich stealthier sein. Auf den folgenden Seiten können Sie sehen, auf was Sie zugreifen könnten, wenn Sie ein Pod erstellen, das nur einige der in der vorherigen Vorlage genannten Berechtigungen aktiviert:
Privileged + hostPID
Privileged only
hostPath
hostPID
hostNetwork
hostIPC
Sie finden Beispiele dafür, wie Sie die vorherigen privilegierten Pod-Konfigurationen erstellen/ausnutzen können in https://github.com/BishopFox/badPods
Wenn Sie einen Pod (und optional ein Service-Konto) erstellen können, könnten Sie in der Lage sein, Berechtigungen in der Cloud-Umgebung zu erhalten, indem Sie Cloud-Rollen einem Pod oder einem Service-Konto zuweisen und dann darauf zugreifen. Darüber hinaus, wenn Sie einen Pod mit dem Host-Netzwerk-Namespace erstellen können, können Sie die IAM-Rolle der Knoten-Instanz stehlen.
Für weitere Informationen siehe:
Pod Escape PrivilegesEs ist möglich, diese Berechtigungen auszunutzen, um einen neuen Pod zu erstellen und Berechtigungen wie im vorherigen Beispiel zu erlangen.
Die folgende YAML erstellt ein Daemonset und exfiltriert das Token des SA innerhalb des Pods:
pods/exec
ist eine Ressource in Kubernetes, die zum Ausführen von Befehlen in einer Shell innerhalb eines Pods verwendet wird. Dies ermöglicht es, Befehle innerhalb der Container auszuführen oder eine Shell zu erhalten.
Daher ist es möglich, in einen Pod zu gelangen und das Token des SA zu stehlen, oder in einen privilegierten Pod einzutreten, zum Knoten zu entkommen und alle Tokens der Pods im Knoten zu stehlen und (ab)zu nutzen:
Diese Berechtigung erlaubt es, einen lokalen Port an einen Port im angegebenen Pod weiterzuleiten. Dies soll es ermöglichen, Anwendungen, die innerhalb eines Pods laufen, einfach zu debuggen, aber ein Angreifer könnte dies missbrauchen, um Zugang zu interessanten (wie DBs) oder anfälligen Anwendungen (Webs?) innerhalb eines Pods zu erhalten:
Wie in dieser Forschung angegeben, wenn Sie auf ein Pod zugreifen oder ein Pod mit dem hosts /var/log/
Verzeichnis montiert darauf erstellen können, können Sie aus dem Container entkommen.
Das liegt im Wesentlichen daran, dass, wenn die Kube-API versucht, die Logs eines Containers abzurufen (unter Verwendung von kubectl logs <pod>
), sie die 0.log
Datei des Pods über den /logs/
Endpunkt des Kubelet Dienstes anfordert.
Der Kubelet-Dienst exponiert den /logs/
Endpunkt, der im Grunde genommen das /var/log
Dateisystem des Containers exponiert.
Daher könnte ein Angreifer mit Zugriff auf das Schreiben im /var/log/ Ordner des Containers dieses Verhalten auf 2 Arten ausnutzen:
Ändern der 0.log
Datei seines Containers (normalerweise zu finden in /var/logs/pods/namespace_pod_uid/container/0.log
), um ein Symlink zu /etc/shadow
zu sein, zum Beispiel. Dann können Sie die Schatten-Datei des Hosts exfiltrieren, indem Sie:
Wenn der Angreifer einen Principal mit den Berechtigungen zum Lesen von nodes/log
kontrolliert, kann er einfach einen symlink in /host-mounted/var/log/sym
zu /
erstellen und beim Zugriff auf https://<gateway>:10250/logs/sym/
wird er das Root-Dateisystem des Hosts auflisten (Ändern des symlinks kann Zugriff auf Dateien gewähren).
Ein Labor und ein automatisierter Exploit sind zu finden unter https://blog.aquasec.com/kubernetes-security-pod-escape-log-mounts
Wenn Sie das Glück haben und die hochprivilegierte Fähigkeit CAP_SYS_ADMIN
verfügbar ist, können Sie den Ordner einfach als rw erneut einhängen:
Wie in dieser Forschung angegeben, ist es möglich, den Schutz zu umgehen:
Was dazu gedacht war, Ausbrüche wie die vorherigen zu verhindern, indem anstelle eines hostPath-Mounts ein PersistentVolume und ein PersistentVolumeClaim verwendet werden, um einen Ordner des Hosts im Container mit schreibbarem Zugriff zu mounten:
Mit einem Benutzer-Impersonation Privileg könnte ein Angreifer ein privilegiertes Konto impersonieren.
Verwenden Sie einfach den Parameter --as=<username>
im kubectl
Befehl, um einen Benutzer zu impersonieren, oder --as-group=<group>
, um eine Gruppe zu impersonieren:
Oder verwenden Sie die REST-API:
Die Berechtigung, Geheimnisse aufzulisten, könnte einem Angreifer tatsächlich erlauben, die Geheimnisse zu lesen, indem er auf den REST-API-Endpunkt zugreift:
Während ein Angreifer im Besitz eines Tokens mit Leseberechtigungen den genauen Namen des Geheimnisses benötigt, um es zu verwenden, gibt es im Gegensatz zu dem umfassenderen Geheimnisse auflisten Privileg dennoch Schwachstellen. Standarddienstkonten im System können aufgelistet werden, wobei jedes mit einem Geheimnis verknüpft ist. Diese Geheimnisse haben eine Namensstruktur: ein statisches Präfix gefolgt von einem zufälligen fünfstelligen alphanumerischen Token (mit Ausnahme bestimmter Zeichen) gemäß dem Quellcode.
Das Token wird aus einem begrenzten 27-Zeichen-Satz (bcdfghjklmnpqrstvwxz2456789
) generiert, anstatt aus dem vollständigen alphanumerischen Bereich. Diese Einschränkung reduziert die insgesamt möglichen Kombinationen auf 14.348.907 (27^5). Folglich könnte ein Angreifer realistisch einen Brute-Force-Angriff durchführen, um das Token innerhalb weniger Stunden zu ermitteln, was möglicherweise zu einer Privilegieneskalation durch den Zugriff auf sensible Dienstkonten führen könnte.
Wenn Sie die Verben create
im Ressourcen certificatesigningrequests
(oder zumindest in certificatesigningrequests/nodeClient
) haben. Sie können ein neues CeSR eines neuen Knotens erstellen.
Laut der Dokumentation ist es möglich, diese Anfragen automatisch zu genehmigen, sodass Sie in diesem Fall keine zusätzlichen Berechtigungen benötigen. Andernfalls müssten Sie in der Lage sein, die Anfrage zu genehmigen, was bedeutet, dass Sie ein Update in certificatesigningrequests/approval
und approve
in signers
mit resourceName <signerNameDomain>/<signerNamePath>
oder <signerNameDomain>/*
benötigen.
Ein Beispiel für eine Rolle mit allen erforderlichen Berechtigungen ist:
So, mit dem genehmigten neuen Node CSR kannst du die besonderen Berechtigungen von Knoten ausnutzen, um Geheimnisse zu stehlen und Berechtigungen zu eskalieren.
In diesem Beitrag und diesem hier ist die GKE K8s TLS Bootstrap-Konfiguration mit automatischer Signierung konfiguriert und wird ausgenutzt, um Anmeldeinformationen eines neuen K8s-Knotens zu generieren und diese dann zu missbrauchen, um Berechtigungen durch das Stehlen von Geheimnissen zu eskalieren. Wenn du die genannten Berechtigungen hast, könntest du dasselbe tun. Beachte, dass das erste Beispiel den Fehler umgeht, der einen neuen Knoten daran hindert, auf Geheimnisse innerhalb von Containern zuzugreifen, da ein Knoten nur auf die Geheimnisse von Containern zugreifen kann, die auf ihm gemountet sind.
Der Weg, dies zu umgehen, besteht einfach darin, Anmeldeinformationen für den Knotennamen zu erstellen, unter dem der Container mit den interessanten Geheimnissen gemountet ist (aber schau dir einfach an, wie man es im ersten Beitrag macht):
Prinzipien, die configmaps
im kube-system Namespace auf EKS (müssen in AWS sein) Clustern ändern können, können Cluster-Admin-Rechte erlangen, indem sie die aws-auth configmap überschreiben.
Die benötigten Verben sind update
und patch
, oder create
, wenn die configmap nicht erstellt wurde:
Sie können aws-auth
für Persistenz verwenden, um Benutzern aus anderen Konten Zugriff zu gewähren.
Allerdings funktioniert aws --profile other_account eks update-kubeconfig --name <cluster-name>
nicht von einem anderen Konto. Aber tatsächlich funktioniert aws --profile other_account eks get-token --cluster-name arn:aws:eks:us-east-1:123456789098:cluster/Testing
, wenn Sie die ARN des Clusters anstelle nur des Namens angeben.
Um kubectl
zum Laufen zu bringen, stellen Sie einfach sicher, dass Sie die kubeconfig des Opfers konfigurieren und in den aws exec-Argumenten --profile other_account_role
hinzufügen, damit kubectl das Profil des anderen Kontos verwendet, um das Token zu erhalten und AWS zu kontaktieren.
Es gibt 2 Möglichkeiten, K8s-Berechtigungen GCP-Prinzipien zuzuweisen. In jedem Fall benötigt das Prinzip auch die Berechtigung container.clusters.get
, um Anmeldeinformationen zum Zugriff auf den Cluster zu sammeln, oder Sie müssen Ihre eigene kubectl-Konfigurationsdatei generieren (folgen Sie dem nächsten Link).
Wenn Sie mit dem K8s-API-Endpunkt sprechen, wird das GCP-Auth-Token gesendet. Dann wird GCP über den K8s-API-Endpunkt zuerst überprüfen, ob das Prinzip (per E-Mail) Zugriff innerhalb des Clusters hat, dann wird überprüft, ob es irgendwelchen Zugriff über GCP IAM hat. Wenn irgendeines davon wahr ist, wird ihm geantwortet. Wenn nicht, wird ein Fehler angezeigt, der vorschlägt, Berechtigungen über GCP IAM zu gewähren.
Dann ist die erste Methode die Verwendung von GCP IAM, die K8s-Berechtigungen haben ihre entsprechenden GCP IAM-Berechtigungen, und wenn das Prinzip diese hat, kann es sie verwenden.
GCP - Container PrivescDie zweite Methode besteht darin, K8s-Berechtigungen innerhalb des Clusters zuzuweisen, indem der Benutzer über seine E-Mail identifiziert wird (einschließlich GCP-Dienstkonten).
Prinzipien, die TokenRequests (serviceaccounts/token
) erstellen können, wenn sie mit dem K8s-API-Endpunkt sprechen SAs (Informationen von hier).
Prinzipien, die update
oder patch
pods/ephemeralcontainers
können Codeausführung auf anderen Pods erlangen und potenziell ausbrechen zu ihrem Knoten, indem sie einen ephemeral container mit einem privilegierten securityContext hinzufügen.
Prinzipien mit einem der Verben create
, update
oder patch
über validatingwebhookconfigurations
oder mutatingwebhookconfigurations
könnten in der Lage sein, eine solche webhookconfiguration zu erstellen, um Berechtigungen zu eskalieren.
Für ein mutatingwebhookconfigurations
Beispiel überprüfen Sie diesen Abschnitt dieses Beitrags.
Wie Sie im nächsten Abschnitt lesen können: Integrierte Prävention der privilegierten Eskalation, kann ein Prinzip weder Rollen noch Clusterrollen aktualisieren oder erstellen, ohne selbst diese neuen Berechtigungen zu haben. Es sei denn, es hat das Verb escalate
über roles
oder clusterroles
.
Dann kann es neue Rollen, Clusterrollen mit besseren Berechtigungen als die, die es hat, aktualisieren/erstellen.
Prinzipien mit Zugriff auf die nodes/proxy
Unterressource können Code auf Pods ausführen über die Kubelet-API (laut diesem). Weitere Informationen zur Kubelet-Authentifizierung finden Sie auf dieser Seite:
Sie haben ein Beispiel, wie Sie RCE erhalten, indem Sie autorisiert mit einer Kubelet-API sprechen.
Prinzipien, die Pods löschen können (delete
Verb über pods
Ressource), oder Pods vertreiben (create
Verb über pods/eviction
Ressource), oder Pod-Status ändern (Zugriff auf pods/status
) und können andere Knoten nicht planbar machen (Zugriff auf nodes/status
) oder Knoten löschen (delete
Verb über nodes
Ressource) und Kontrolle über einen Pod haben, könnten Pods von anderen Knoten stehlen, sodass sie auf dem kompromittierten Knoten ausgeführt werden und der Angreifer die Tokens von diesen Pods stehlen kann.
Prinzipien, die services/status
ändern können, dürfen das Feld status.loadBalancer.ingress.ip
setzen, um die nicht behobene CVE-2020-8554 auszunutzen und MiTM-Angriffe gegen den Cluster zu starten. Die meisten Milderungen für CVE-2020-8554 verhindern nur ExternalIP-Dienste (laut diesem).
Prinzipien mit update
oder patch
Berechtigungen über nodes/status
oder pods/status
könnten Labels ändern, um die durchgesetzten Planungsbeschränkungen zu beeinflussen.
Kubernetes hat einen eingebauten Mechanismus zur Verhinderung von Privilegieneskalation.
Dieses System stellt sicher, dass Benutzer ihre Berechtigungen nicht erhöhen können, indem sie Rollen oder Rollenzuweisungen ändern. Die Durchsetzung dieser Regel erfolgt auf API-Ebene und bietet einen Schutz, selbst wenn der RBAC-Autorisierer inaktiv ist.
Die Regel besagt, dass ein Benutzer eine Rolle nur erstellen oder aktualisieren kann, wenn er alle Berechtigungen besitzt, die die Rolle umfasst. Darüber hinaus muss der Umfang der bestehenden Berechtigungen des Benutzers mit dem der Rolle übereinstimmen, die er zu erstellen oder zu ändern versucht: entweder clusterweit für ClusterRoles oder auf denselben Namespace (oder clusterweit) für Roles.
Es gibt eine Ausnahme von der vorherigen Regel. Wenn ein Prinzip den Verb escalate
über roles
oder clusterroles
hat, kann er die Berechtigungen von Rollen und Clusterrollen erhöhen, auch ohne die Berechtigungen selbst zu haben.
Offensichtlich hat diese Technik früher funktioniert, aber laut meinen Tests funktioniert sie aus dem gleichen Grund, der im vorherigen Abschnitt erklärt wurde, nicht mehr. Du kannst kein Rolebinding erstellen/ändern, um dir selbst oder einem anderen SA einige Berechtigungen zu geben, wenn du sie nicht bereits hast.
Das Privileg, Rolebindings zu erstellen, ermöglicht es einem Benutzer, Rollen an ein Dienstkonto zu binden. Dieses Privileg kann potenziell zu einer Privilegieneskalation führen, da es dem Benutzer erlaubt, Administratorberechtigungen an ein kompromittiertes Dienstkonto zu binden.
Standardmäßig gibt es keine Verschlüsselung in der Kommunikation zwischen Pods. Gegenseitige Authentifizierung, bidirektional, Pod zu Pod.
Erstelle deine .yaml
Bearbeiten Sie Ihre .yaml und fügen Sie die auskommentierten Zeilen hinzu:
Siehe die Protokolle des Proxys:
Mehr Informationen unter: https://kubernetes.io/docs/tasks/configure-pod-container/security-context/
Ein Admission Controller unterbricht Anfragen an den Kubernetes API-Server vor der Persistenz des Objekts, aber nachdem die Anfrage authentifiziert und autorisiert wurde.
Wenn es einem Angreifer gelingt, einen Mutationg Admission Controller zu injizieren, kann er bereits authentifizierte Anfragen modifizieren. Dies ermöglicht potenziell Privilegieneskalation und in der Regel auch Persistenz im Cluster.
Beispiel von https://blog.rewanthtammana.com/creating-malicious-admission-controllers:
Überprüfen Sie den Status, um zu sehen, ob es bereit ist:
Dann deployen Sie ein neues Pod:
Wenn Sie den ErrImagePull
-Fehler sehen, überprüfen Sie den Bildnamen mit einer der Abfragen:
Wie Sie im obigen Bild sehen können, haben wir versucht, das Image nginx
auszuführen, aber das letztendlich ausgeführte Image ist rewanthtammana/malicious-image
. Was ist gerade passiert!!?
Das Skript ./deploy.sh
richtet einen mutierenden Webhook-Zugangscontroller ein, der Anfragen an die Kubernetes-API gemäß den in seiner Konfiguration angegebenen Zeilen modifiziert und die beobachteten Ergebnisse beeinflusst:
Der obige Snippet ersetzt das erste Container-Image in jedem Pod mit rewanthtammana/malicious-image
.
Pods und Service Accounts: Standardmäßig montieren Pods ein Service Account Token. Um die Sicherheit zu erhöhen, erlaubt Kubernetes die Deaktivierung dieser Automount-Funktion.
Anwendung: Setzen Sie automountServiceAccountToken: false
in der Konfiguration von Service Accounts oder Pods ab Kubernetes-Version 1.6.
Selektive Einbeziehung: Stellen Sie sicher, dass nur notwendige Benutzer in RoleBindings oder ClusterRoleBindings einbezogen werden. Überprüfen Sie regelmäßig und entfernen Sie irrelevante Benutzer, um eine strenge Sicherheit aufrechtzuerhalten.
Rollen vs. ClusterRoles: Bevorzugen Sie die Verwendung von Rollen und RoleBindings für namespace-spezifische Berechtigungen anstelle von ClusterRoles und ClusterRoleBindings, die clusterweit gelten. Dieser Ansatz bietet eine feinere Kontrolle und begrenzt den Umfang der Berechtigungen.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)