Kubernetes Namespace Escalation

Kubernetes에서는 어떤 식으로든 네임스페이스 내부로 들어가게 되는 경우가 매우 흔합니다 (일부 사용자 자격 증명을 도용하거나 파드를 침투함으로써). 그러나 일반적으로 더 흥미로운 것들이 그곳에서 발견될 수 있기 때문에 다른 네임스페이스로 승격하는 것이 관심사가 될 것입니다.

다음은 다른 네임스페이스로 이탈할 수 있는 몇 가지 기술입니다:

K8s 권한 남용

당연히 도용한 계정이 해당 네임스페이스에 대해 민감한 권한을 가지고 있다면, 해당 권한을 남용할 수 있습니다. 예를 들어, NS 내에서 서비스 계정을 사용하여 파드를 생성하거나, ns 내에서 이미 존재하는 파드에서 셸을 실행하거나, 비밀 SA 토큰을 읽을 수 있습니다.

어떤 권한을 남용할 수 있는지 자세한 정보는 다음을 참조하세요:

노드로 이탈

노드로 이탈할 수 있다면, 이미 파드를 침투하여 이탈할 수 있거나 특권이 있는 파드를 생성하여 이탈할 수 있다면, 다른 SAs 토큰을 도용하기 위해 여러 가지 작업을 수행할 수 있습니다:

• 노드에서 실행 중인 다른 도커 컨테이너에 장착된 SAs 토큰을 확인하세요

• 노드에서 노드에 부여된 추가 권한을 가진 새로운 kubeconfig 파일을 확인하세요

• 활성화된 경우 (또는 직접 활성화하십시오) 다른 네임스페이스의 미러링된 파드를 생성하여, 해당 네임스페이스의 기본 토큰 계정에 액세스할 수 있습니다 (아직 테스트하지 않았습니다).

모든 이러한 기술은 다음에서 설명되어 있습니다: