Abusing Roles/ClusterRoles in Kubernetes
ここでは、潜在的に危険なRolesおよびClusterRolesの設定を見つけることができます。
kubectl api-resources
を使用して、すべてのサポートされるリソースを取得できることを覚えておいてください。
特権昇格
異なる権限を持つ別の主体へのアクセスを取得する技術として言及される特権昇格(Kubernetesクラスタ内または外部クラウドへの異なる権限で)、Kubernetesには基本的に4つの主要な特権昇格技術があります:
Kubernetesクラスタ内または外部クラウドで、より優れた権限を持つ他のユーザー/グループ/SAsを偽装できること
Kubernetesクラスタ内または外部クラウドで、より優れた権限を持つSAsを見つけたりアタッチしたりできるようなポッドを作成/パッチ/実行できること
SAsのトークンはシークレットとして保存されているため、シークレットを読み取ることができること
コンテナからノードに脱出できることで、ノードで実行されているコンテナのすべてのシークレット、ノードの資格情報、およびノードが実行されているクラウド内のノードの権限を盗むことができること(あれば)
ポッドでポートフォワードを実行できる能力も言及に値する技術の1つであり、そのポッド内の興味深いリソースにアクセスできるかもしれない
任意のリソースまたは動詞にアクセス(ワイルドカード)
ワイルドカード(*)は、任意のリソースに対する任意の動詞の許可を与えます。管理者によって使用されます。ClusterRole内では、攻撃者がクラスタ内の任意のネームスペースを悪用できることを意味します。
特定の動詞で任意のリソースにアクセス
RBACでは、特定の権限には重大なリスクが伴います:
create
: 任意のクラスタリソースを作成する権限を付与し、特権昇格のリスクがあります。list
: すべてのリソースをリストすることができ、機密データが漏洩する可能性があります。get
: サービスアカウントからシークレットにアクセスすることを許可し、セキュリティ上の脅威があります。
Pod Create - トークンの盗難
ポッドを作成する権限を持つ攻撃者は、特権を持つサービスアカウントをポッドにアタッチし、そのトークンを盗んでサービスアカウントになりすますことができます。これにより、特権が昇格します
攻撃者にトークンを送信するbootstrap-signer
サービスアカウントのトークンを盗むポッドの例:
Podの作成と脱出
以下は、コンテナが持つことができるすべての特権を示しています:
特権アクセス(保護を無効にし、機能を設定する)
特権を昇格させるのに役立つ名前空間hostIPCとhostPidを無効にする
ノードのクラウド特権を盗むためのアクセスを提供するhostNetwork名前空間を無効にする
コンテナ内で**ホストの/**をマウントする
次のコマンドでPodを作成します:
このツイートからのワンライナーといくつかの追加:
ステルス
おそらく、よりステルスになりたいと思うでしょう。前のテンプレートで言及された特権の一部だけを有効にしてポッドを作成した場合にアクセスできるものを以下のページで見ることができます:
特権 + hostPID
特権のみ
hostPath
hostPID
hostNetwork
hostIPC
前述の特権を持つポッド構成を作成/悪用する例は、 https://github.com/BishopFox/badPods で見つけることができます
ポッドの作成 - クラウドへの移行
ポッド(および必要に応じてサービスアカウント)を作成できる場合、クラウド環境で特権を取得することができるかもしれません。その後、ポッドまたはサービスアカウントにクラウドロールを割り当て、アクセスすることができます。 さらに、ホストネットワーク名前空間を持つポッドを作成できる場合、ノードインスタンスのIAMロールを盗むことができます。
詳細については、次を確認してください:
pagePod Escape Privilegesデプロイメント、デーモンセット、Statefulsets、レプリケーションコントローラ、レプリカセット、ジョブ、およびクーロンジョブの作成/パッチ
これらの権限を悪用して、前述の例のように新しいポッドを作成し、特権を確立することが可能です。
次のyamlは、デーモンセットを作成し、ポッド内のSAのトークンを外部に持ち出すものです:
Pods Exec
**pods/exec
**は、ポッド内のシェルでコマンドを実行するために使用されるKubernetesのリソースです。これにより、コンテナ内でコマンドを実行したり、シェルを取得したりできます。
したがって、ポッド内に入ってSAのトークンを盗むことが可能であり、特権を持つポッドに入り、ノードに脱出してノード内のすべてのポッドのトークンを盗んで(悪用して)ノードを乗っ取ることができます。
ポートフォワード
この権限は、指定されたポッド内の1つのポートを1つのローカルポートに転送することを可能にします。これは、ポッド内で実行されているアプリケーションを簡単にデバッグできるようにするためのものですが、攻撃者はそれを悪用して、ポッド内の興味深い(例:DB)や脆弱なアプリケーション(Web?)にアクセスすることがあります。
ホスト書き込み可能 /var/log/ エスケープ
この研究で示されているように、ホストの /var/log/
ディレクトリがマウントされた ポッドにアクセスまたは作成 できる場合、コンテナから脱出 できます。
これは、Kube-API がコンテナのログを取得しようとするとき(kubectl logs <pod>
を使用)、Kubelet サービスの /logs/
エンドポイントを使用してポッドの 0.log
ファイルを要求するためです。
Kubelet サービスは /logs/
エンドポイントを公開しており、これは基本的にコンテナの /var/log
ファイルシステムを公開しています。
したがって、コンテナの /var/log/ フォルダに書き込みアクセス権 がある攻撃者は、次の2つの方法でこの動作を悪用できます:
通常は
/var/logs/pods/namespace_pod_uid/container/0.log
にあるコンテナの0.log
ファイルを/etc/shadow
を指すシンボリックリンク に変更します。その後、次のようにしてホストの shadow ファイルを持ち出すことができます:
攻撃者が
nodes/log
を読む権限を持つ任意のプリンシパルを制御している場合、/host-mounted/var/log/sym
に/
へのシンボリックリンクを作成し、https://<gateway>:10250/logs/sym/
にアクセスすると、ホストのルートファイルシステムがリストされます(シンボリックリンクを変更するとファイルにアクセスできる場合があります)。
実験室と自動化されたエクスプロイトは https://blog.aquasec.com/kubernetes-security-pod-escape-log-mounts に見つけることができます
readOnly 保護のバイパス
もし運が良ければ、特権の高い CAP_SYS_ADMIN
機能が利用可能であれば、フォルダを単に rw で再マウントすることができます:
hostPathのreadOnly保護のバイパス
この研究に記載されているように、保護をバイパスすることが可能です。
次のように、以前のものと同様のエスケープを防ぐために、hostPath マウントを使用せずに、PersistentVolume と PersistentVolumeClaim を使用して、ホストのフォルダをコンテナに書き込み可能なアクセスでマウントします。
特権アカウントのなりすまし
ユーザーなりすまし 権限を持つと、攻撃者は特権アカウントになりすますことができます。
単にkubectl
コマンドでパラメータ --as=<username>
を使用してユーザーになりすまし、または--as-group=<group>
を使用してグループになりすますことができます。
または、REST API を使用します:
シークレットのリスト
シークレットのリスト権限は、攻撃者が実際にシークレットを読むことを可能にする REST API エンドポイントへのアクセス:
シークレットの読み取り - トークン ID の総当たり攻撃
読み取り権限を持つ攻撃者は、それを使用するためにシークレットの正確な名前が必要ですが、より広範な シークレットの一覧表示 権限とは異なり、まだ脆弱性が存在します。システム内のデフォルトサービスアカウントを列挙することができ、それぞれがシークレットに関連付けられています。これらのシークレットは、静的な接頭辞に続くランダムな5文字の英数字トークン(特定の文字を除く)による名前構造を持っています。ソースコードによると、トークンは制限された27文字のセット(bcdfghjklmnpqrstvwxz2456789
)から生成されます。
この制限により、総当たり攻撃を実行してトークンを推測することが可能となり、合計14,348,907通り(27^5)の組み合わせに減少します。その結果、攻撃者は数時間でトークンを推測し、機密性の高いサービスアカウントにアクセスすることで特権昇格を引き起こす可能性があります。
証明書署名リクエスト
リソース certificatesigningrequests
(または少なくとも certificatesigningrequests/nodeClient
)で動詞 create
を持っている場合、新しいノードの CeSR を 作成 できます。
ドキュメントによると、これらのリクエストを自動承認することが可能 であり、その場合は 追加の権限が不要 です。そうでない場合は、リクエストを承認できる必要があり、certificatesigningrequests/approval
での更新と signers
での approve
が <signerNameDomain>/<signerNamePath>
または <signerNameDomain>/*
の resourceName であることを意味します。
必要なすべての権限を持つ ロールの例 は次のとおりです:
新しいノードCSRが承認されたので、ノードの特権を悪用してシークレットを盗み、権限を昇格させることができます。
この投稿とこの投稿では、GKE K8s TLSブートストラップ構成が自動署名で構成され、新しいK8sノードの資格情報を生成して、それらを悪用して権限を昇格させる方法が悪用されています。もしあなたが言及された特権を持っている場合、同じことができます。最初の例は、新しいノードがコンテナ内のシークレットにアクセスできないエラーをバイパスします。なぜなら、ノードはそれにマウントされたコンテナのシークレットにのみアクセスできるからです。
これをバイパスする方法は、単に興味深いシークレットをマウントしたコンテナがあるノード名のノード資格情報を作成することです(ただし、最初の投稿で方法を確認してください):
AWS EKS aws-auth configmaps
EKS(AWS内にある必要があります)クラスターのkube-systemネームスペースで**configmaps
を変更できる主体は、aws-auth configmapを上書きすることでクラスター管理者権限を取得できます。
必要な動詞はupdate
とpatch
です。configmapが作成されていない場合はcreate
**が必要です:
他のアカウントからユーザーにアクセス権を与えるために**aws-auth
を永続化**に使用できます。
ただし、aws --profile other_account eks update-kubeconfig --name <cluster-name>
は異なるアカウントからは機能しません。しかし、実際には aws --profile other_account eks get-token --cluster-name arn:aws:eks:us-east-1:123456789098:cluster/Testing
は、クラスターのARNを名前だけでなくARNで指定すると機能します。
kubectl
を機能させるには、被害者のkubeconfigを構成し、aws exec argsに --profile other_account_role
を追加して、kubectlが他のアカウントプロファイルを使用してトークンを取得し、AWSに接続するようにします。
GKEでの昇格
GCPプリンシパルにK8s権限を割り当てる方法は2つあります。いずれの場合も、プリンシパルはクラスターにアクセスするための資格情報を収集するために**container.clusters.get
**権限も必要です。そうでない場合は、独自のkubectl構成ファイルを生成する必要があります(次のリンクを参照)。
K8s APIエンドポイントにアクセスする際に、GCP認証トークンが送信されます。その後、GCPはK8s APIエンドポイントを介して、まずプリンシパル(メールアドレスで)がクラスター内でアクセス権を持っているかどうかをチェックし、次にGCP IAM経由でアクセス権を持っているかどうかをチェックします。 これらのいずれかがtrueであれば、応答されます。そうでない場合は、GCP IAM経由で権限を付与するようにというエラーが表示されます。
その後、最初の方法はGCP IAMを使用することで、K8s権限にはそれに相当するGCP IAM権限があり、プリンシパルがそれを持っていれば使用できます。
pageGCP - Container Privesc2番目の方法は、クラスター内でユーザーを識別するためにメールアドレス(GCPサービスアカウントを含む)を使用してK8s権限を割り当てることです。
サービスアカウントトークンの作成
TokenRequests (serviceaccounts/token
を作成できるプリンシパル)。K8s APIエンドポイントにアクセスする際にSAs(こちらの情報)。
ephemeralcontainers
pods/ephemeralcontainers
をupdate
またはpatch
できるプリンシパルは、他のポッドでコードを実行し、特権のあるsecurityContextを持つephemeralコンテナを追加することで、そのノードに侵入する可能性があります。
ValidatingWebhookConfigurationsまたはMutatingWebhookConfigurations
validatingwebhookconfigurations
またはmutatingwebhookconfigurations
のいずれかの動詞create
、update
またはpatch
を持つプリンシパルは、そのようなwebhookconfigurationsを作成して特権を昇格することができるかもしれません。
mutatingwebhookconfigurations
の例は、この投稿のこのセクションを参照してください。
昇格
次のセクションで読むことができるように、組み込み特権昇格防止では、プリンシパルは新しい権限を持っていない限り、ロールやクラスターロールを更新または作成することはできません。**roles
またはclusterroles
上にescalate
**動詞を持っている場合を除いて。
その後、彼は自分自身にそれらの新しい権限を持つロール、クラスターロールを更新/作成することができます。
ノードプロキシ
**nodes/proxy
**サブリソースにアクセス権を持つプリンシパルは、Kubelet APIを介してポッド上でコードを実行できます(こちらによる)。Kubelet認証に関する詳細情報は、このページで確認できます:
Kubelet APIに認証された状態でRCEを取得する例はこちら。
ポッドの削除 + スケジュール不可のノード
ポッドを削除できるプリンシパル(pods
リソース上のdelete
動詞)、またはポッドを追い出すことができるプリンシパル(pods/eviction
リソース上のcreate
動詞)、またはポッドのステータスを変更できる(pods/status
へのアクセス)プリンシパルは、他のノードをスケジュール不可にできる(nodes/status
へのアクセス)か、ノードを削除できる(nodes
リソース上のdelete
動詞)場合、ポッドを制御できると、他のノードからポッドを盗むことができ、それらのポッドのトークンを盗むことができます。
サービスの状態(CVE-2020-8554)
services/status
を変更できる主体は、status.loadBalancer.ingress.ip
フィールドを設定して、修正されていないCVE-2020-8554を悪用し、クラスターに対するMiTM攻撃を実行することができます。CVE-2020-8554のほとんどの緩和策は、ExternalIPサービスを防ぐだけです(こちらによる)。
ノードとポッドの状態
nodes/status
またはpods/status
の**update
またはpatch
**権限を持つ主体は、スケジューリング制約に影響を与えるためにラベルを変更できます。
組み込み特権昇格防止
Kubernetesには、特権昇格を防ぐための組み込みメカニズムがあります。
このシステムは、ユーザーが役割やロールバインディングを変更して特権を昇格させることを防ぐことを保証します。このルールの強制はAPIレベルで行われ、RBAC認可者が非アクティブであっても保護を提供します。
このルールでは、ユーザーは、その役割に含まれるすべての権限を持っている場合にのみ、役割を作成または更新できます。さらに、ユーザーの既存の権限の範囲は、作成または変更しようとしている役割の範囲と一致する必要があります。ClusterRolesの場合はクラスタ全体、Rolesの場合は同じ名前空間(またはクラスタ全体)に限定されます。
前述のルールには例外があります。主体が**roles
またはclusterroles
に対してescalate
**動詞を持っている場合、その主体は自身に権限がなくても、役割とクラスタロールの特権を増やすことができます。
RoleBindings/ClusterRoleBindingsの取得とパッチ
以前はこのテクニックが機能していましたが、私のテストによると、前のセクションで説明した理由と同じ理由でもう機能していません。権限がない場合、自分自身または別のSAに特権を与えるためにrolebindingを作成/変更することはできません。
Rolebindingsを作成する権限は、ユーザーがサービスアカウントに役割をバインドすることを可能にします。この権限は、ユーザーが管理者特権を侵害されたサービスアカウントにバインドすることを可能にし、特権昇格につながる可能性があります。
その他の攻撃
サイドカープロキシアプリ
デフォルトでは、ポッド間の通信には暗号化がありません。相互認証、双方向、ポッド間。
サイドカープロキシアプリを作成
あなたの.yamlを作成します。
編集して、コメントを外した行を追加してください。
プロキシのログを参照してください:
詳細はこちら:https://kubernetes.io/docs/tasks/configure-pod-container/security-context/
悪意のあるアドミッションコントローラ
アドミッションコントローラは、オブジェクトが永続化される前にKubernetes APIサーバへのリクエストをインターセプトしますが、リクエストが認証された後であり、かつ承認された後です。
攻撃者が何らかの方法でMutationg Admission Controllerをインジェクトできれば、すでに認証されたリクエストを変更できるようになります。これにより、権限昇格が可能になり、通常はクラスタに永続化される可能性があります。
例 https://blog.rewanthtammana.com/creating-malicious-admission-controllers:
ステータスを確認して、準備ができているかどうかを確認します:
新しいポッドをデプロイします:
以下のクエリのいずれかでイメージ名を確認してください。ErrImagePull
エラーが表示される場合。
上の画像で見られるように、nginx
イメージを実行しようとしましたが、最終的に実行されたイメージは rewanthtammana/malicious-image
でした。何が起こったのでしょうか!?
技術的詳細
./deploy.sh
スクリプトは、ミューテーティングウェブフックアドミッションコントローラを確立し、その構成行に指定されたように Kubernetes API へのリクエストを変更し、観察される結果に影響を与えます。
ベストプラクティス
サービスアカウントトークンの自動マウントの無効化
ポッドとサービスアカウント: デフォルトでは、ポッドはサービスアカウントトークンをマウントします。セキュリティを強化するために、Kubernetesはこの自動マウント機能の無効化を許可しています。
適用方法: Kubernetesバージョン1.6以降では、サービスアカウントまたはポッドの構成で
automountServiceAccountToken: false
を設定します。
RoleBindings/ClusterRoleBindingsでの制限付きユーザー割り当て
選択的なインクルージョン: RoleBindingsまたはClusterRoleBindingsには必要なユーザーのみを含めるようにします。不要なユーザーを定期的に監査して削除し、セキュリティを強化します。
クラスタ全体のロールよりも名前空間固有のロールの使用
Roles vs. ClusterRoles: クラスタ全体に適用されるClusterRolesとClusterRoleBindingsではなく、名前空間固有の権限にはRolesとRoleBindingsを使用することをお勧めします。このアプローチはより細かい制御を提供し、権限のスコープを制限します。
自動化ツールの使用
参考文献
最終更新