OpenShift - Missing Service Account

Conta de Serviço Ausente

Acontece que o cluster é implantado com um modelo pré-configurado que define automaticamente Funções, Vinculações de Funções e até mesmo SCC para uma conta de serviço que ainda não foi criada. Isso pode levar a uma escalada de privilégios no caso em que você pode criá-los. Nesse caso, você seria capaz de obter o token da SA recém-criada e a função ou SCC associada. O mesmo caso ocorre quando a SA ausente faz parte de um projeto ausente, neste caso, se você puder criar o projeto e depois a SA, você obtém as Funções e SCC associadas.

No gráfico anterior, temos vários Projetos Ausentes, o que significa vários projetos que aparecem em Vinculações de Funções ou SCC, mas ainda não foram criados no cluster. Da mesma forma, também temos uma Conta de Serviço Ausente.

Se pudermos criar um projeto e a SA ausente nele, a SA herdará a Função ou o SCC que estavam direcionando para a Conta de Serviço Ausente. O que pode levar a uma escalada de privilégios.

O exemplo a seguir mostra uma SA ausente que recebe a SCC node-exporter:

Ferramentas

A seguinte ferramenta pode ser usada para enumerar esse problema e, de forma mais geral, para mapear um cluster OpenShift:

Last updated