GCP - Containers & GKE Enum

Containers

Nei containers di GCP puoi trovare la maggior parte dei servizi basati su containers offerti da GCP, qui puoi vedere come enumerare i più comuni:

gcloud container images list
gcloud container images list --repository us.gcr.io/<project-name> #Search in other subdomains repositories
gcloud container images describe <name>
gcloud container subnets list-usable
gcloud container clusters list
gcloud container clusters describe <name>
gcloud container clusters get-credentials [NAME]

# Run a container locally
docker run --rm -ti gcr.io/<project-name>/secret:v1 sh

# Login & Download
sudo docker login -u oauth2accesstoken -p $(gcloud auth print-access-token) https://HOSTNAME
## where HOSTNAME is gcr.io, us.gcr.io, eu.gcr.io, or asia.gcr.io.
sudo docker pull HOSTNAME/<project-name>/<image-name>

Privesc

Nella seguente pagina puoi controllare come abusare dei permessi del container per elevare i privilegi:

Node Pools

Questi sono i pool di macchine (nodi) che formano i cluster Kubernetes.

# Pool of machines used by the cluster
gcloud container node-pools list --zone <zone> --cluster <cluster>
gcloud container node-pools describe --cluster <cluster> --zone <zone> <node-pool>

Kubernetes

Per informazioni su cos'è Kubernetes, controlla questa pagina:

Innanzitutto, puoi verificare se esistono cluster Kubernetes nel tuo progetto.

gcloud container clusters list

Se hai un cluster, puoi fare in modo che gcloud configur il tuo file ~/.kube/config automaticamente. Questo file viene utilizzato per autenticarti quando usi kubectl, la CLI nativa per interagire con i cluster K8s. Prova questo comando.

gcloud container clusters get-credentials [CLUSTER NAME] --region [REGION]

Quindi, dai un'occhiata al file ~/.kube/config per vedere le credenziali generate. Questo file verrà utilizzato per aggiornare automaticamente i token di accesso in base alla stessa identità che la sessione attiva di gcloud sta utilizzando. Questo naturalmente richiede le autorizzazioni corrette.

Una volta configurato questo, puoi provare il seguente comando per ottenere la configurazione del cluster.

kubectl cluster-info

Puoi leggere ulteriori informazioni su gcloud per i container qui.

Questo è uno script semplice per enumerare i Kubernetes in GCP: https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/gcp_k8s_enum

Escalation dei Privilegi di Bootstrap TLS

Inizialmente questa tecnica di escalation dei privilegi permetteva di eseguire l'escalation dei privilegi all'interno del cluster GKE consentendo efficacemente a un attaccante di comprometterlo completamente.

Ciò è dovuto al fatto che GKE fornisce le credenziali di Bootstrap TLS nei metadati, ai quali è possibile accedere da chiunque comprometta un pod.

La tecnica utilizzata è spiegata nei seguenti articoli:

• https://www.4armed.com/blog/hacking-kubelet-on-gke/

• https://www.4armed.com/blog/kubeletmein-kubelet-hacking-tool/

• https://rhinosecuritylabs.com/cloud-security/kubelet-tls-bootstrap-privilege-escalation/

E questo strumento è stato creato per automatizzare il processo: https://github.com/4ARMED/kubeletmein

Tuttavia, la tecnica abusava del fatto che con le credenziali dei metadati era possibile generare una CSR (Certificate Signing Request) per un nuovo nodo, che veniva approvato automaticamente. Nel mio test ho verificato che tali richieste non vengono più approvate automaticamente, quindi non sono sicuro se questa tecnica sia ancora valida.

Segreti nell'API Kubelet

In questo articolo è stato scoperto un indirizzo API Kubelet accessibile da dentro un pod in GKE che fornisce i dettagli dei pod in esecuzione:

curl -v -k http://10.124.200.1:10255/pods

Anche se l'API non consente di modificare risorse, potrebbe essere possibile trovare informazioni sensibili nella risposta. L'endpoint /pods è stato trovato utilizzando Kiterunner.