Kubernetes Kyverno bypass

L'auteur original de cette page est Guillaume

Abuser des erreurs de configuration des politiques

Énumérer les règles

Avoir un aperçu peut aider à savoir quelles règles sont actives, dans quel mode et qui peut les contourner.

$ kubectl get clusterpolicies
$ kubectl get policies

Énumérer les Exclues

Pour chaque ClusterPolicy et Policy, vous pouvez spécifier une liste d'entités exclues, y compris :

Groupes : excludedGroups
Utilisateurs : excludedUsers
Comptes de service (SA) : excludedServiceAccounts
Rôles : excludedRoles
Rôles de cluster : excludedClusterRoles

Ces entités exclues seront exemptées des exigences de la politique, et Kyverno n'appliquera pas la politique pour elles.

Exemple

Examinons un exemple de clusterpolicy :

$ kubectl get clusterpolicies MYPOLICY -o yaml

Recherchez les entités exclues :

exclude:
any:
- clusterRoles:
- cluster-admin
- subjects:
- kind: User
name: system:serviceaccount:DUMMYNAMESPACE:admin
- kind: User
name: system:serviceaccount:TEST:thisisatest
- kind: User
name: system:serviceaccount:AHAH:*

Dans un cluster, de nombreux composants, opérateurs et applications ajoutés peuvent nécessiter une exclusion d'une politique de cluster. Cependant, cela peut être exploité en ciblant des entités privilégiées. Dans certains cas, il peut sembler qu'un namespace n'existe pas ou que vous n'ayez pas la permission d'usurper l'identité d'un utilisateur, ce qui peut être un signe de mauvaise configuration.

Abuser de ValidatingWebhookConfiguration

Une autre façon de contourner les politiques est de se concentrer sur la ressource ValidatingWebhookConfiguration :

Kubernetes ValidatingWebhookConfiguration

PreviousKubernetes Kyverno NextKubernetes ValidatingWebhookConfiguration

Last updated 20 hours ago