Kubernetes - OPA Gatekeeper bypass
L'auteur original de cette page est Guillaume
Abus de configuration incorrecte
Énumérer les règles
Avoir un aperçu peut aider à savoir quelles règles sont actives, dans quel mode et qui peut les contourner.
Avec le CLI
ConstraintTemplate et Constraint peuvent être utilisés dans Open Policy Agent (OPA) Gatekeeper pour imposer des règles sur les ressources Kubernetes.
Avec l'interface graphique
Une interface graphique peut également être disponible pour accéder aux règles OPA avec Gatekeeper Policy Manager. Il s'agit d'un "interface web en lecture seule simple pour visualiser l'état des politiques OPA Gatekeeper dans un cluster Kubernetes."
Recherchez la route exposée :
Espaces de noms exclus
Comme illustré dans l'image ci-dessus, certaines règles peuvent ne pas être appliquées universellement à tous les espaces de noms ou utilisateurs. Au lieu de cela, elles fonctionnent sur une base de liste blanche. Par exemple, la contrainte liveness-probe est exclue de s'appliquer aux cinq espaces de noms spécifiés.
Contournement
Avec une vue d'ensemble complète de la configuration de Gatekeeper, il est possible d'identifier des erreurs de configuration potentielles qui pourraient être exploitées pour obtenir des privilèges. Recherchez les espaces de noms autorisés ou exclus où la règle ne s'applique pas, puis menez votre attaque à cet endroit.
Abusing Roles/ClusterRoles in KubernetesRéférences
Last updated
