EKS

Για περισσότερες πληροφορίες ελέγξτε

Απαριθμήστε το cluster από την κονσόλα του AWS

Αν έχετε την άδεια eks:AccessKubernetesApi μπορείτε να προβάλετε αντικείμενα Kubernetes μέσω της κονσόλας AWS EKS (Μάθετε περισσότερα).

Σύνδεση στο AWS Kubernetes Cluster

• Εύκολος τρόπος:

# Generate kubeconfig
aws eks update-kubeconfig --name aws-eks-dev

• Δεν είναι τόσο εύκολο:

Αν μπορείτε να αποκτήσετε ένα τεκμήριο με την εντολή aws eks get-token --name <cluster_name> αλλά δεν έχετε δικαιώματα να λάβετε πληροφορίες για το cluster (describeCluster), μπορείτε να προετοιμάσετε το δικό σας ~/.kube/config. Ωστόσο, έχοντας το τεκμήριο, χρειάζεστε ακόμα το url endpoint για σύνδεση (αν καταφέρατε να λάβετε ένα JWT τεκμήριο από ένα pod διαβάστε εδώ) και το όνομα του cluster.

Στην περίπτωσή μου, δεν βρήκα τις πληροφορίες στα CloudWatch logs, αλλά τις βρήκα στα userData των LaunchTemplates και επίσης στα EC2 μηχανήματα στα userData επίσης. Μπορείτε να δείτε αυτές τις πληροφορίες στο userData εύκολα, για παράδειγμα στο επόμενο παράδειγμα (το όνομα του cluster ήταν cluster-name):

API_SERVER_URL=https://6253F6CA47F81264D8E16FAA7A103A0D.gr7.us-east-1.eks.amazonaws.com

/etc/eks/bootstrap.sh cluster-name --kubelet-extra-args '--node-labels=eks.amazonaws.com/sourceLaunchTemplateVersion=1,alpha.eksctl.io/cluster-name=cluster-name,alpha.eksctl.io/nodegroup-name=prd-ondemand-us-west-2b,role=worker,eks.amazonaws.com/nodegroup-image=ami-002539dd2c532d0a5,eks.amazonaws.com/capacityType=ON_DEMAND,eks.amazonaws.com/nodegroup=prd-ondemand-us-west-2b,type=ondemand,eks.amazonaws.com/sourceLaunchTemplateId=lt-0f0f0ba62bef782e5 --max-pods=58' --b64-cluster-ca $B64_CLUSTER_CA --apiserver-endpoint $API_SERVER_URL --dns-cluster-ip $K8S_CLUSTER_DNS_IP --use-max-pods false

Από το AWS στο Kubernetes

Ο δημιουργός του EKS cluster θα έχει πάντα πρόσβαση στο τμήμα του kubernetes cluster της ομάδας system:masters (k8s admin). Προς το παρόν δεν υπάρχει άμεσος τρόπος να βρείτε ποιος δημιούργησε το cluster (μπορείτε να ελέγξετε το CloudTrail). Και δεν υπάρχει τρόπος να αφαιρέσετε αυτό το προνόμιο.

Ο τρόπος για να χορηγήσετε πρόσβαση στο K8s σε περισσότερους χρήστες ή ρόλους AWS IAM είναι μέσω του configmap aws-auth.

Για περισσότερες πληροφορίες σχετικά με το πώς να χορηγήσετε επιπλέον προνόμια σε ρόλους & χρήστες IAM στο ίδιο ή διαφορετικό λογαριασμό και πώς να καταχραστείτε αυτό για έλεγχο προνομίων ελέγξτε αυτήν τη σελίδα.

Ελέγξτε επίσης αυτήν την εκπληκτική ανάρτηση για να μάθετε πώς λειτουργεί η πιστοποίηση IAM -> Kubernetes.

Από το Kubernetes στο AWS

Είναι δυνατόν να επιτραπεί μια ταυτοποίηση OpenID για λογαριασμό υπηρεσίας Kubernetes ώστε να τους επιτραπεί να υιοθετήσουν ρόλους στο AWS. Μάθετε πώς λειτουργεί αυτό σε αυτήν τη σελίδα.

Λήψη του Σημείου Τερματικού Api Server από ένα Διακριτικό JWT

https://<cluster-id>.<two-random-chars><number>.<region>.eks.amazonaws.com

Δεν βρέθηκε κάποια τεκμηρίωση που εξηγεί τα κριτήρια για τα 'two chars' και το 'number'. Ωστόσο, κάνοντας μερικές δοκιμές μόνος μου, βλέπω να επαναλαμβάνονται τα παρακάτω:

• gr7

• yl4

Πάντως, είναι μόνο 3 χαρακτήρες και μπορούμε να τους αναζητήσουμε με βία. Χρησιμοποιήστε το παρακάτω script για τη δημιουργία της λίστας.

from itertools import product
from string import ascii_lowercase

letter_combinations = product('abcdefghijklmnopqrstuvwxyz', repeat = 2)
number_combinations = product('0123456789', repeat = 1)

result = [
f'{''.join(comb[0])}{comb[1][0]}'
for comb in product(letter_combinations, number_combinations)
]

with open('out.txt', 'w') as f:
f.write('\n'.join(result))

Στη συνέχεια με το wfuzz

wfuzz -Z -z file,out.txt --hw 0 https://<cluster-id>.FUZZ.<region>.eks.amazonaws.com

Παράκαμψη του CloudTrail

Εάν ένας εισβολέας αποκτήσει διαπιστευτήρια ενός AWS με άδειες πάνω σε ένα EKS. Εάν ο εισβολέας διαμορφώσει το δικό του kubeconfig (χωρίς να καλέσει το update-kubeconfig) όπως εξηγήθηκε προηγουμένως, το get-token δεν δημιουργεί καταγραφές στο CloudTrail επειδή δεν αλληλεπιδρά με το AWS API (απλά δημιουργεί το token τοπικά).

Έτσι, όταν ο εισβολέας επικοινωνεί με το EKS cluster, το cloudtrail δεν καταγράφει τίποτα σχετικά με τον χρήστη που έχει κλαπεί και έχει πρόσβαση σε αυτό.

Να σημειωθεί ότι το EKS cluster μπορεί να έχει ενεργοποιημένα logs που θα καταγράφουν αυτήν την πρόσβαση (αν και, από προεπιλογή, είναι απενεργοποιημένα).

EKS Κατάχρηση;

Από προεπιλογή, ο χρήστης ή ρόλος που δημιούργησε ένα cluster θα έχει πάντα δικαιώματα διαχειριστή πάνω στο cluster. Και αυτή είναι η μοναδική "ασφαλής" πρόσβαση που θα έχει το AWS στο Kubernetes cluster.

Έτσι, εάν ένας εισβολέας διακινδυνεύει ένα cluster χρησιμοποιώντας fargate και αφαιρεί όλους τους άλλους διαχειριστές και διαγράφει τον AWS χρήστη/ρόλο που δημιούργησε το Cluster, ο εισβολέας θα μπορούσε να έχει ζητήσει λύτρα για το clusterr.