GCP - Containers, GKE & Composer Enum
Conteneurs
Dans les conteneurs GCP, vous pouvez trouver la plupart des services basés sur des conteneurs que GCP offre, ici vous pouvez voir comment énumérer les plus courants :
Élévation de privilèges
Dans la page suivante, vous pouvez vérifier comment abuser des permissions des conteneurs pour élever les privilèges :
pageGCP - Container PrivescGroupes de nœuds
Ce sont les groupes de machines (nœuds) qui forment les clusters kubernetes.
Composer
C'est la version gérée par GCP de Airflow.
Élévation de privilèges
Dans la page suivante, vous pouvez vérifier comment abuser des permissions de Composer pour élever les privilèges :
pageGCP - Composer PrivescKubernetes
Pour des informations sur ce qu'est Kubernetes, consultez cette page :
pageKubernetes PentestingTout d'abord, vous pouvez vérifier si des clusters Kubernetes existent dans votre projet.
Si vous avez un cluster, vous pouvez configurer automatiquement votre fichier ~/.kube/config
avec gcloud
. Ce fichier est utilisé pour vous authentifier lorsque vous utilisez kubectl, le CLI natif pour interagir avec les clusters K8s. Essayez cette commande.
Ensuite, examinez le fichier ~/.kube/config
pour voir les identifiants générés. Ce fichier sera utilisé pour actualiser automatiquement les jetons d'accès en fonction de la même identité que votre session gcloud
active utilise. Cela nécessite bien sûr les permissions correctes en place.
Une fois cela configuré, vous pouvez essayer la commande suivante pour obtenir la configuration du cluster.
Vous pouvez en savoir plus sur gcloud
pour les conteneurs ici.
Voici un script simple pour énumérer Kubernetes dans GCP : https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/gcp_k8s_enum
Escalade de Privilèges TLS Bootstrap
Initialement, cette technique d'escalade de privilèges permettait de privesc à l'intérieur du cluster GKE, permettant ainsi à un attaquant de le compromettre entièrement.
Cela est dû au fait que GKE fournit des identifiants TLS Bootstrap dans les métadonnées, qui sont accessibles à quiconque en compromettant simplement un pod.
La technique utilisée est expliquée dans les articles suivants :
Et cet outil a été créé pour automatiser le processus : https://github.com/4ARMED/kubeletmein
Cependant, la technique abusait du fait qu'avec les identifiants des métadonnées, il était possible de générer une CSR (Demande de Signature de Certificat) pour un nouveau nœud, qui était approuvé automatiquement. Dans mon test, j'ai vérifié que ces demandes ne sont plus approuvées automatiquement, donc je ne suis pas sûr que cette technique soit encore valide.
Secrets dans l'API Kubelet
Dans cet article, il a été découvert une adresse de l'API Kubelet accessible depuis l'intérieur d'un pod dans GKE donnant les détails des pods en cours d'exécution :
Même si l'API ne permet pas de modifier les ressources, il pourrait être possible de trouver des informations sensibles dans la réponse. Le point de terminaison /pods a été trouvé en utilisant Kiterunner.
Dernière mise à jour