Kubernetes Pivoting to Clouds
GCP
Se stai eseguendo un cluster k8s all'interno di GCP, probabilmente vorrai che alcune applicazioni in esecuzione all'interno del cluster abbiano accesso a GCP. Ci sono 2 modi comuni per farlo:
Montaggio delle chiavi GCP-SA come segreto
Un modo comune per dare accesso a un'applicazione Kubernetes a GCP è:
Creare un GCP Service Account
Associare ad esso le autorizzazioni desiderate
Scaricare una chiave json dell'SA creato
Montarla come segreto all'interno del pod
Impostare la variabile d'ambiente GOOGLE_APPLICATION_CREDENTIALS che punta al percorso in cui si trova il file json.
Pertanto, come attaccante, se comprometti un container all'interno di un pod, dovresti controllare quella variabile d'ambiente e i file json con le credenziali GCP.
Collegamento del json GSA al segreto KSA
Un modo per dare accesso a un GSA a un cluster GKE è associarli in questo modo:
Creare un account di servizio Kubernetes nello stesso namespace del tuo cluster GKE utilizzando il seguente comando:
Crea un Secret di Kubernetes che contenga le credenziali dell'account di servizio GCP a cui desideri concedere l'accesso al cluster GKE. Puoi farlo utilizzando lo strumento da linea di comando
gcloud
, come mostrato nell'esempio seguente:
Collega il Secret di Kubernetes all'account di servizio di Kubernetes utilizzando il seguente comando:
Nel secondo passaggio sono state impostate le credenziali del GSA come segreto del KSA. Quindi, se puoi leggere quel segreto da all'interno del cluster GKE, puoi elevarti a quel service account GCP.
Identità del carico di lavoro GKE
Con l'identità del carico di lavoro, possiamo configurare un account di servizio Kubernetes per agire come un account di servizio Google. I pod in esecuzione con l'account di servizio Kubernetes si autenticano automaticamente come l'account di servizio Google quando accedono alle API di Google Cloud.
La prima serie di passaggi per abilitare questo comportamento è abilitare l'identità del carico di lavoro in GCP (passaggi) e creare l'account di servizio GCP che si desidera impersonare con k8s.
Abilita l'identità del carico di lavoro su un nuovo cluster
Creare/Aggiornare un nuovo nodepool (I cluster Autopilot non ne hanno bisogno)
Crea il Service Account GCP da impersonare da K8s con le autorizzazioni GCP:
Connettiti al cluster e crea il service account da utilizzare
Associa il GSA con il KSA
Esegui un pod con il KSA e controlla l'accesso a GSA:
Controlla il seguente comando per autenticarti, se necessario:
Come attaccante all'interno di K8s dovresti cercare gli SAs con l'annotazione iam.gke.io/gcp-service-account
poiché indica che l'SA può accedere a qualcosa in GCP. Un'altra opzione sarebbe cercare di abusare di ogni KSA nel cluster e verificare se ha accesso.
Da GCP è sempre interessante enumerare i binding e sapere a quali accessi stai dando agli SAs all'interno di Kubernetes.
Questo è uno script per scorrere facilmente tutte le definizioni dei pod alla ricerca di quell'annotazione:
AWS
Kiam & Kube2IAM (IAM role per i Pods)
Un modo (obsoleto) per fornire IAM Roles ai Pods è utilizzare un server Kiam o un server Kube2IAM. Fondamentalmente, è necessario eseguire un daemonset nel cluster con un tipo di ruolo IAM privilegiato. Questo daemonset sarà quello che fornirà l'accesso ai ruoli IAM ai pods che ne hanno bisogno.
Prima di tutto, è necessario configurare quali ruoli possono essere accessibili all'interno del namespace, e si fa ciò con un'annotazione all'interno dell'oggetto namespace:
Una volta che il namespace è configurato con i ruoli IAM che i Pods possono avere, puoi indicare il ruolo desiderato su ogni definizione del pod con qualcosa del genere:
Come attaccante, se trovi queste annotazioni nei pod o nei namespace o un server kiam/kube2iam in esecuzione (probabilmente in kube-system), puoi impersonare ogni ruolo che è già utilizzato dai pod e altro ancora (se hai accesso all'account AWS, elenca i ruoli).
Crea Pod con ruolo IAM
Il ruolo IAM da indicare deve trovarsi nello stesso account AWS del ruolo kiam/kube2iam e tale ruolo deve essere in grado di accedervi.
IAM Role per gli account di servizio K8s tramite OIDC
Questo è il modo consigliato da AWS.
Prima di tutto, è necessario creare un provider OIDC per il cluster.
Quindi, creare un ruolo IAM con le autorizzazioni richieste dall'account di servizio (SA).
Creare una relazione di trust tra il ruolo IAM e l'account di servizio specificando il nome dell'account di servizio (o i namespace che concedono accesso al ruolo a tutti gli account di servizio del namespace). La relazione di trust verificherà principalmente il nome del provider OIDC, il nome del namespace e il nome dell'account di servizio.
Infine, creare un account di servizio con un'annotazione che indica l'ARN del ruolo, e i pod in esecuzione con quell'account di servizio avranno accesso al token del ruolo. Il token viene scritto all'interno di un file e il percorso è specificato in
AWS_WEB_IDENTITY_TOKEN_FILE
(predefinito:/var/run/secrets/eks.amazonaws.com/serviceaccount/token
)
Per ottenere aws utilizzando il token da /var/run/secrets/eks.amazonaws.com/serviceaccount/token
, eseguire:
Come attaccante, se riesci a enumerare un cluster K8s, controlla gli account di servizio con quell'annotazione per elevarti ad AWS. Per farlo, basta eseguire/creare un pod utilizzando uno degli account di servizio privilegiati IAM e rubare il token.
Inoltre, se ti trovi all'interno di un pod, controlla le variabili di ambiente come AWS_ROLE_ARN e AWS_WEB_IDENTITY_TOKEN.
A volte la Politica di Fiducia di un ruolo potrebbe essere mal configurata e invece di concedere l'accesso AssumeRole all'account di servizio previsto, lo concede a tutti gli account di servizio. Pertanto, se sei in grado di scrivere un'annotazione su un account di servizio controllato, puoi accedere al ruolo.
Controlla la pagina seguente per ulteriori informazioni:
Trova i Pods e gli SAs con Ruoli IAM nel Cluster
Questo è uno script per scorrere facilmente tutti i pod e le definizioni degli SAs alla ricerca di quella annotazione:
Ruolo IAM del nodo
La sezione precedente riguardava come rubare i ruoli IAM con i pod, ma nota che un Nodo del cluster K8s sarà un'istanza all'interno del cloud. Ciò significa che è molto probabile che il Nodo abbia un nuovo ruolo IAM che puoi rubare (nota che di solito tutti i nodi di un cluster K8s avranno lo stesso ruolo IAM, quindi potrebbe non valere la pena controllare ogni nodo).
Tuttavia, c'è un requisito importante per accedere al punto di accesso dei metadati dal nodo, devi essere nel nodo (sessione ssh?) o almeno avere la stessa rete:
Rubare il token del ruolo IAM
Precedentemente abbiamo discusso come associare ruoli IAM ai pod o addirittura come scappare al nodo per rubare il ruolo IAM che l'istanza ha associato ad esso.
Puoi utilizzare lo script seguente per rubare le nuove credenziali del tuo ruolo IAM appena ottenuto:
Questo script recupera le informazioni sulle credenziali del ruolo IAM utilizzando l'API di metadati dell'istanza.
Riferimenti
Last updated