Pentesting Kubernetes Services

Kubernetes koristi nekoliko specifičnih mrežnih usluga koje možete pronaći izložene internetu ili u internoj mreži kada kompromitujete jedan pod.

Finding exposed pods with OSINT

Jedan način može biti pretraga za Identity LIKE "k8s.%.com" na crt.sh da biste pronašli poddomene povezane sa kubernetesom. Drugi način može biti pretraga "k8s.%.com" na github-u i pretraga za YAML datotekama koje sadrže ovu string.

How Kubernetes Exposes Services

Može biti korisno da razumete kako Kubernetes može izložiti usluge javno kako biste ih pronašli:

Finding Exposed pods via port scanning

Sledeći portovi mogu biti otvoreni u Kubernetes klasteru:

Nmap

nmap -n -T4 -p 443,2379,6666,4194,6443,8443,8080,10250,10255,10256,9099,6782-6784,30000-32767,44134 <pod_ipaddress>/16

Kube-apiserver

Ovo je API Kubernetes usluga sa kojom administratori obično komuniciraju koristeći alat kubectl.

Uobičajeni portovi: 6443 i 443, ali takođe 8443 u minikube i 8080 kao nesiguran.

curl -k https://<IP Address>:(8|6)443/swaggerapi
curl -k https://<IP Address>:(8|6)443/healthz
curl -k https://<IP Address>:(8|6)443/api/v1

Proverite sledeću stranicu da biste saznali kako da dobijete osetljive podatke i izvršite osetljive radnje razgovarajući sa ovom uslugom:

Kubelet API

Ova usluga radi na svakoj čvoru klastera. To je usluga koja će kontrolisati podove unutar čvora. Razgovara sa kube-apiserver.

Ako pronađete ovu uslugu izloženu, možda ste pronašli neautentifikovani RCE.

Kubelet API

curl -k https://<IP address>:10250/metrics
curl -k https://<IP address>:10250/pods

Ako je odgovor Unauthorized, onda je potrebna autentifikacija.

Ako možete da nabrojite čvorove, možete dobiti listu kubelet krajnjih tačaka sa:

kubectl get nodes -o custom-columns='IP:.status.addresses[0].address,KUBELET_PORT:.status.daemonEndpoints.kubeletEndpoint.Port' | grep -v KUBELET_PORT | while IFS='' read -r node; do
ip=$(echo $node | awk '{print $1}')
port=$(echo $node | awk '{print $2}')
echo "curl -k --max-time 30 https://$ip:$port/pods"
echo "curl -k --max-time 30 https://$ip:2379/version" #Check  also for etcd
done

kubelet (Samo za čitanje)

curl -k https://<IP Address>:10255
http://<external-IP>:10255/pods

etcd API

curl -k https://<IP address>:2379
curl -k https://<IP address>:2379/version
etcdctl --endpoints=http://<MASTER-IP>:2379 get / --prefix --keys-only

Tiller

helm --host tiller-deploy.kube-system:44134 version

Možete zloupotrebiti ovu uslugu da eskalirate privilegije unutar Kubernetes-a:

cAdvisor

Usluga korisna za prikupljanje metrika.

curl -k https://<IP Address>:4194

NodePort

Kada je port izložen na svim čvorovima putem NodePort, isti port je otvoren na svim čvorovima, proksirajući saobraćaj u deklarisanu Service. Po defaultu, ovaj port će biti u opsegu 30000-32767. Tako da nove neproverene usluge mogu biti dostupne putem tih portova.

sudo nmap -sS -p 30000-32767 <IP>

Ranljive Konfiguracije

Kube-apiserver Anonimni Pristup

Anonimni pristup kube-apiserver API krajnjim tačkama nije dozvoljen. Ali možete proveriti neke krajnje tačke:

Proveravanje ETCD Anonimnog Pristupa

ETCD čuva tajne klastera, konfiguracione datoteke i više osetljivih podataka. Po definiciji, ETCD ne može biti pristupljen anonimno, ali uvek je dobro proveriti.

Ako se ETCD može pristupiti anonimno, možda ćete morati da koristite etcdctl alat. Sledeća komanda će dobiti sve ključeve koji su sačuvani:

etcdctl --endpoints=http://<MASTER-IP>:2379 get / --prefix --keys-only

Kubelet RCE

The Kubelet documentation objašnjava da je podrazumevano anonimni pristup usluzi dozvoljen:

Omogućava anonimne zahteve serveru Kubelet. Zahtevi koji nisu odbijeni od strane druge metode autentifikacije tretiraju se kao anonimni zahtevi. Anonimni zahtevi imaju korisničko ime system:anonymous, i naziv grupe system:unauthenticated

Da biste bolje razumeli kako funkcioniše autentifikacija i autorizacija Kubelet API-ja, pogledajte ovu stranicu:

Kubelet usluga API nije dokumentovana, ali izvorni kod se može pronaći ovde, a pronalaženje izloženih krajnjih tačaka je jednostavno kao pokretanje:

curl -s https://raw.githubusercontent.com/kubernetes/kubernetes/master/pkg/kubelet/server/server.go | grep 'Path("/'

Path("/pods").
Path("/run")
Path("/exec")
Path("/attach")
Path("/portForward")
Path("/containerLogs")
Path("/runningpods/").

Svi zvuče zanimljivo.

Možete koristiti alat Kubeletctl za interakciju sa Kubelet-ima i njihovim krajnjim tačkama.

/pods

Ova krajnja tačka prikazuje podove i njihove kontejnere:

kubeletctl pods

/exec

Ova tačka omogućava lako izvršavanje koda unutar bilo kog kontejnera:

kubeletctl exec [command]

Proveravanje izlaganja informacija Kubelet-a (samo za čitanje)

Kada je kubelet port za čitanje izložen, postaje moguće da neovlašćene strane dobiju informacije sa API-ja. Izlaganje ovog porta može dovesti do otkrivanja raznih elemenata konfiguracije klastera. Iako informacije, uključujući imena podova, lokacije internih fajlova i druge konfiguracije, možda nisu kritične, njihovo izlaganje i dalje predstavlja bezbednosni rizik i treba ga izbegavati.

Primer kako se ova ranjivost može iskoristiti uključuje udaljenog napadača koji pristupa određenom URL-u. Navigacijom do http://<external-IP>:10255/pods, napadač može potencijalno dobiti osetljive informacije iz kubelet-a:

Reference

Kubernetes Pentest Methodology Part 2CyberArk