GCP - Container Privesc

container

container.clusters.get

Bu izin, Kubernetes kümesi için kimlik bilgilerini toplamak için bir şey kullanmaya olanak tanır:

gcloud container clusters get-credentials <cluster_name> --zone <zone>

Ek izinler olmadan, kimlik bilgileri oldukça temel olup bazı kaynakları listeleyebilirsiniz, ancak bu, ortamda yanlış yapılandırmaları bulmak için faydalıdır.

Bu izne sahip değilseniz, yine de kümeye erişebilirsiniz, ancak kümelerin bilgileriyle kendi kubectl yapılandırma dosyanızı oluşturmanız gerekir. Yeni oluşturulan bir dosya şöyle görünür:

apiVersion: v1
clusters:
- cluster:
certificate-authority-data: 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
server: https://34.123.141.28
name: gke_security-devbox_us-central1_autopilot-cluster-1
contexts:
- context:
cluster: gke_security-devbox_us-central1_autopilot-cluster-1
user: gke_security-devbox_us-central1_autopilot-cluster-1
name: gke_security-devbox_us-central1_autopilot-cluster-1
current-context: gke_security-devbox_us-central1_autopilot-cluster-1
kind: Config
preferences: {}
users:
- name: gke_security-devbox_us-central1_autopilot-cluster-1
user:
auth-provider:
config:
access-token: <access token>
cmd-args: config config-helper --format=json
cmd-path: gcloud
expiry: "2022-12-06T01:13:11Z"
expiry-key: '{.credential.token_expiry}'
token-key: '{.credential.access_token}'
name: gcp

container.roles.escalate | container.clusterRoles.escalate

Kubernetes varsayılan olarak prensiplerin daha fazla izin ile Roller ve ClusterRoller oluşturmasını veya güncellemesini engeller. Ancak, bu izinlere sahip bir GCP prensibi, sahip olduğu izinlerden daha fazla izinle Roller/ClusterRoller oluşturup/güncelleyebilir, böylece Kubernetes'in bu davranışa karşı korumasını etkili bir şekilde aşar.

container.roles.create ve/veya container.roles.update veya container.clusterRoles.create ve/veya container.clusterRoles.update sırasıyla bu ayrıcalık yükseltme eylemlerini gerçekleştirmek için gereklidir.

container.roles.bind | container.clusterRoles.bind

Kubernetes varsayılan olarak prensiplerin daha fazla izin vermek için RoleBindings ve ClusterRoleBindings oluşturmasını veya güncellemesini engeller. Ancak, bu izinlere sahip bir GCP prensibi, sahip olduğu izinlerden daha fazla izinle RoleBindings/ClusterRoleBindings oluşturup/güncelleyebilir, böylece Kubernetes'in bu davranışa karşı korumasını etkili bir şekilde aşar.

container.roleBindings.create ve/veya container.roleBindings.update veya container.clusterRoleBindings.create ve/veya container.clusterRoleBindings.update sırasıyla bu ayrıcalık yükseltme eylemlerini gerçekleştirmek için de gereklidir.

container.cronJobs.create | container.cronJobs.update | container.daemonSets.create | container.daemonSets.update | container.deployments.create | container.deployments.update | container.jobs.create | container.jobs.update | container.pods.create | container.pods.update | container.replicaSets.create | container.replicaSets.update | container.replicationControllers.create | container.replicationControllers.update | container.scheduledJobs.create | container.scheduledJobs.update | container.statefulSets.create | container.statefulSets.update

Tüm bu izinler, bir kaynak oluşturmanıza veya güncellemenize olanak tanıyacak ve burada bir pod tanımlayabilirsiniz. Bir pod tanımlayarak, eklenecek SA ve çalıştırılacak görüntüyi belirleyebilirsiniz, bu nedenle SA'nın token'ını sunucunuza dışa aktaracak bir görüntü çalıştırabilirsiniz, bu da size herhangi bir hizmet hesabına yükselme imkanı tanır. Daha fazla bilgi için kontrol edin:

Bir GCP ortamında olduğumuz için, metadata hizmetinden nodepool GCP SA'yı da alabileceksiniz ve GCP'de ayrıcalıkları yükseltebileceksiniz (varsayılan olarak compute SA kullanılır).

container.secrets.get | container.secrets.list

Bu sayfada açıklandığı gibi bu izinlerle, tüm Kubernetes SA'larının token'larını okuyabilirsiniz, böylece onlara yükselme yapabilirsiniz.

container.pods.exec

Bu izinle, pod'lara exec yapabileceksiniz, bu da size Kubernetes'te çalışan tüm SA'lara erişim sağlar ve K8s içinde ayrıcalıkları yükseltmenizi sağlar, ayrıca NodePool'un GCP Hizmet Hesabını çalma imkanı da verir, bu da GCP'de ayrıcalıkları yükseltir.

container.pods.portForward

Bu sayfada açıklandığı gibi, bu izinlerle, pod'larda çalışan yerel hizmetlere erişebilirsiniz, bu da size Kubernetes'te ayrıcalıkları yükseltme imkanı verebilir (ve GCP'de, metadata hizmetiyle bir şekilde iletişim kurmayı başarırsanız).

container.serviceAccounts.createToken

İznin adı nedeniyle, K8s Hizmet Hesaplarının token'larını oluşturmanıza izin verecek gibi görünüyor, böylece Kubernetes içinde herhangi bir SA'ya ayrıcalık yükseltebileceksiniz. Ancak, bunu kullanmak için herhangi bir API uç noktası bulamadım, bu yüzden bulursanız bana bildirin.

container.mutatingWebhookConfigurations.create | container.mutatingWebhookConfigurations.update

Bu izinler, Kubernetes'te ayrıcalıkları yükseltmenize olanak tanıyabilir, ancak daha muhtemel olarak, bunları kümeye kalıcı hale gelmek için kötüye kullanabilirsiniz. Daha fazla bilgi için bu bağlantıyı takip edin.