Kubernetes Namespace Escalation
Kubernetes에서는 어떤 식으로든 네임스페이스 내부로 들어가게 되는 경우가 매우 흔합니다 (일부 사용자 자격 증명을 도용하거나 파드를 침투함으로써). 그러나 일반적으로 더 흥미로운 것들이 그곳에서 발견될 수 있기 때문에 다른 네임스페이스로 승격하는 것이 관심사가 될 것입니다.
다음은 다른 네임스페이스로 이탈할 수 있는 몇 가지 기술입니다:
K8s 권한 남용
당연히 도용한 계정이 해당 네임스페이스에 대해 민감한 권한을 가지고 있다면, 해당 권한을 남용할 수 있습니다. 예를 들어, NS 내에서 서비스 계정을 사용하여 파드를 생성하거나, ns 내에서 이미 존재하는 파드에서 셸을 실행하거나, 비밀 SA 토큰을 읽을 수 있습니다.
어떤 권한을 남용할 수 있는지 자세한 정보는 다음을 참조하세요:
Abusing Roles/ClusterRoles in Kubernetes노드로 이탈
노드로 이탈할 수 있다면, 이미 파드를 침투하여 이탈할 수 있거나 특권이 있는 파드를 생성하여 이탈할 수 있다면, 다른 SAs 토큰을 도용하기 위해 여러 가지 작업을 수행할 수 있습니다:
노드에서 실행 중인 다른 도커 컨테이너에 장착된 SAs 토큰을 확인하세요
노드에서 노드에 부여된 추가 권한을 가진 새로운 kubeconfig 파일을 확인하세요
활성화된 경우 (또는 직접 활성화하십시오) 다른 네임스페이스의 미러링된 파드를 생성하여, 해당 네임스페이스의 기본 토큰 계정에 액세스할 수 있습니다 (아직 테스트하지 않았습니다).
모든 이러한 기술은 다음에서 설명되어 있습니다:
Attacking Kubernetes from inside a PodLast updated