EKS

Pour plus d'informations, consultez

Enumérer le cluster depuis la console AWS

Si vous avez l'autorisation eks:AccessKubernetesApi, vous pouvez afficher les objets Kubernetes via la console AWS EKS (En savoir plus).

Se connecter au cluster Kubernetes AWS

• Facilement :

# Generate kubeconfig
aws eks update-kubeconfig --name aws-eks-dev

• Pas si facile :

Si vous pouvez obtenir un jeton avec aws eks get-token --name <cluster_name> mais que vous n'avez pas les autorisations pour obtenir des informations sur le cluster (describeCluster), vous pourriez préparer votre propre ~/.kube/config. Cependant, en ayant le jeton, vous avez toujours besoin de l'URL de point de terminaison pour vous connecter (si vous avez réussi à obtenir un jeton JWT à partir d'un pod, lisez ici) et du nom du cluster.

Dans mon cas, je n'ai pas trouvé les informations dans les journaux CloudWatch, mais je les ai trouvées dans les données utilisateur des LaunchTemplates et également dans les machines EC2 dans les données utilisateur. Vous pouvez voir ces informations dans userData facilement, par exemple dans l'exemple suivant (le nom du cluster était cluster-name):

API_SERVER_URL=https://6253F6CA47F81264D8E16FAA7A103A0D.gr7.us-east-1.eks.amazonaws.com

/etc/eks/bootstrap.sh cluster-name --kubelet-extra-args '--node-labels=eks.amazonaws.com/sourceLaunchTemplateVersion=1,alpha.eksctl.io/cluster-name=cluster-name,alpha.eksctl.io/nodegroup-name=prd-ondemand-us-west-2b,role=worker,eks.amazonaws.com/nodegroup-image=ami-002539dd2c532d0a5,eks.amazonaws.com/capacityType=ON_DEMAND,eks.amazonaws.com/nodegroup=prd-ondemand-us-west-2b,type=ondemand,eks.amazonaws.com/sourceLaunchTemplateId=lt-0f0f0ba62bef782e5 --max-pods=58' --b64-cluster-ca $B64_CLUSTER_CA --apiserver-endpoint $API_SERVER_URL --dns-cluster-ip $K8S_CLUSTER_DNS_IP --use-max-pods false

De AWS à Kubernetes

Le créateur du cluster EKS pourra TOUJOURS accéder à la partie du cluster Kubernetes du groupe system:masters (administrateur k8s). À l'heure où ces lignes sont écrites, il n'y a aucun moyen direct de savoir qui a créé le cluster (vous pouvez vérifier CloudTrail). Et il n'y a aucun moyen de retirer ce privilège.

La manière d'accorder l'accès à plus d'utilisateurs ou de rôles IAM AWS sur K8s est d'utiliser le configmap aws-auth.

Pour plus d'informations sur la manière d'accorder des privilèges supplémentaires aux rôles et utilisateurs IAM dans le même compte ou un compte différent et sur la manière d'abuser de cela pour vérifier les privilèges.

Consultez également cet article impressionnant pour apprendre comment fonctionne l'authentification IAM -> Kubernetes.

De Kubernetes à AWS

Il est possible d'autoriser une authentification OpenID pour le compte de service Kubernetes pour leur permettre d'assumer des rôles dans AWS. Apprenez comment cela fonctionne sur cette page.

Obtenir l'endpoint du serveur API à partir d'un jeton JWT

https://<cluster-id>.<two-random-chars><number>.<region>.eks.amazonaws.com

Je n'ai trouvé aucune documentation expliquant les critères pour les 'deux caractères' et le 'nombre'. Mais en faisant quelques tests de mon côté, je vois que ceux-ci reviennent régulièrement :

• gr7

• yl4

Quoi qu'il en soit, ce ne sont que 3 caractères que nous pouvons les bruteforcer. Utilisez le script ci-dessous pour générer la liste

from itertools import product
from string import ascii_lowercase

letter_combinations = product('abcdefghijklmnopqrstuvwxyz', repeat = 2)
number_combinations = product('0123456789', repeat = 1)

result = [
f'{''.join(comb[0])}{comb[1][0]}'
for comb in product(letter_combinations, number_combinations)
]

with open('out.txt', 'w') as f:
f.write('\n'.join(result))

Ensuite avec wfuzz

wfuzz -Z -z file,out.txt --hw 0 https://<cluster-id>.FUZZ.<region>.eks.amazonaws.com

Contourner CloudTrail

Si un attaquant obtient des informations d'identification d'un AWS avec des autorisations sur un EKS. Si l'attaquant configure son propre kubeconfig (sans appeler update-kubeconfig) comme expliqué précédemment, le get-token ne génère pas de journaux dans Cloudtrail car il n'interagit pas avec l'API AWS (il crée simplement le jeton localement).

Ainsi, lorsque l'attaquant communique avec le cluster EKS, cloudtrail ne va pas enregistrer quoi que ce soit en rapport avec l'utilisateur ayant été volé et y accédant.

Notez que le cluster EKS pourrait avoir des journaux activés qui enregistreront cet accès (bien que, par défaut, ils soient désactivés).

Rançon EKS?

Par défaut, l'utilisateur ou le rôle qui a créé un cluster a toujours des privilèges d'administrateur sur le cluster. Et c'est le seul accès "sécurisé" qu'AWS aura sur le cluster Kubernetes.

Ainsi, si un attaquant compromet un cluster en utilisant Fargate et supprime tous les autres administrateurs et supprime l'utilisateur/le rôle AWS qui a créé le Cluster, l'attaquant pourrait avoir rançonné le clusterr.