Kubernetes Pivoting to Clouds
GCP
Se você estiver executando um cluster k8s dentro do GCP, provavelmente desejará que alguma aplicação em execução dentro do cluster tenha acesso ao GCP. Existem 2 maneiras comuns de fazer isso:
Montando chaves GCP-SA como segredo
Uma maneira comum de dar acesso a uma aplicação Kubernetes ao GCP é:
Criar uma Conta de Serviço do GCP
Vincular a ela as permissões desejadas
Baixar uma chave json da SA criada
Montá-la como um segredo dentro do pod
Definir a variável de ambiente GOOGLE_APPLICATION_CREDENTIALS apontando para o caminho onde o json está.
Portanto, como um atacante, se você comprometer um contêiner dentro de um pod, verifique essa variável de ambiente e arquivos json com credenciais do GCP.
Relacionando o json do GSA ao segredo do KSA
Uma maneira de dar acesso a um GSA a um cluster GKE é vinculá-los da seguinte maneira:
Crie uma conta de serviço do Kubernetes no mesmo namespace do seu cluster GKE usando o seguinte comando:
Crie um Segredo do Kubernetes que contenha as credenciais da conta de serviço do GCP à qual você deseja conceder acesso ao cluster GKE. Você pode fazer isso usando a ferramenta de linha de comando
gcloud
, conforme mostrado no exemplo a seguir:
Vincule o Segredo do Kubernetes à conta de serviço do Kubernetes usando o seguinte comando:
No segundo passo, as credenciais do GSA foram definidas como segredo do KSA. Então, se você puder ler esse segredo de dentro do cluster GKE, você pode elevar para essa conta de serviço do GCP.
Identidade de Carga de Trabalho do GKE
Com a Identidade de Carga de Trabalho, podemos configurar uma conta de serviço do Kubernetes para agir como uma conta de serviço do Google. Os pods em execução com a conta de serviço do Kubernetes serão autenticados automaticamente como a conta de serviço do Google ao acessar as APIs do Google Cloud.
A primeira série de etapas para habilitar esse comportamento é habilitar a Identidade de Carga de Trabalho no GCP (etapas) e criar a conta de serviço do GCP que você deseja que o k8s se faça passar.
Habilitar a Identidade de Carga de Trabalho em um novo cluster
Criar/Atualizar um novo nodepool (clusters do Autopilot não precisam disso)
Crie a Conta de Serviço GCP para se passar por a partir do K8s com permissões GCP:
Conecte-se ao cluster e crie a conta de serviço a ser usada
Vincule o GSA com o KSA
Execute um pod com o KSA e verifique o acesso ao GSA:
Verifique o seguinte comando para autenticar, caso necessário:
Como um invasor dentro do K8s, você deve procurar por SAs com a anotação iam.gke.io/gcp-service-account
, pois isso indica que o SA pode acessar algo no GCP. Outra opção seria tentar abusar de cada KSA no cluster e verificar se ele tem acesso.
Do GCP, é sempre interessante enumerar as associações e saber a qual acesso você está dando para os SAs dentro do Kubernetes.
Este é um script para iterar facilmente sobre todas as definições de pods procurando por essa anotação:
AWS
Kiam & Kube2IAM (Função IAM para Pods)
Uma maneira (desatualizada) de fornecer Funções IAM para Pods é usar um servidor Kiam ou Kube2IAM. Basicamente, você precisará executar um daemonset em seu cluster com um tipo de função IAM privilegiada. Este daemonset será responsável por fornecer acesso às funções IAM aos pods que precisam delas.
Antes de tudo, você precisa configurar quais funções podem ser acessadas dentro do namespace, e você faz isso com uma anotação dentro do objeto namespace:
Uma vez que o namespace esteja configurado com as funções IAM que os Pods podem ter, você pode indicar a função desejada em cada definição de pod com algo como:
Como um invasor, se você encontrar essas anotações em pods ou namespaces ou um servidor kiam/kube2iam em execução (provavelmente em kube-system), você pode se passar por qualquer função que já é usada por pods e mais (se tiver acesso à conta AWS, enumere as funções).
Criar Pod com Função IAM
A função IAM a ser indicada deve estar na mesma conta AWS que a função kiam/kube2iam e essa função deve ter acesso a ela.
IAM Role para Contas de Serviço do K8s via OIDC
Este é o método recomendado pela AWS.
Primeiro, você precisa criar um provedor OIDC para o cluster.
Em seguida, crie uma função IAM com as permissões necessárias para a conta de serviço.
Crie uma relação de confiança entre a função IAM e a conta de serviço nome (ou os namespaces que concedem acesso à função para todas as contas de serviço do namespace). A relação de confiança verificará principalmente o nome do provedor OIDC, o nome do namespace e o nome da conta de serviço.
Por fim, crie uma conta de serviço com uma anotação indicando o ARN da função, e os pods em execução com essa conta de serviço terão acesso ao token da função. O token é escrito em um arquivo e o caminho é especificado em
AWS_WEB_IDENTITY_TOKEN_FILE
(padrão:/var/run/secrets/eks.amazonaws.com/serviceaccount/token
)
Para obter o aws usando o token de /var/run/secrets/eks.amazonaws.com/serviceaccount/token
, execute:
Como atacante, se você puder enumerar um cluster K8s, verifique se existem contas de serviço com essa anotação para elevar para a AWS. Para fazer isso, basta executar/criar um pod usando uma das contas de serviço privilegiadas do IAM e roubar o token.
Além disso, se você estiver dentro de um pod, verifique as variáveis de ambiente como AWS_ROLE_ARN e AWS_WEB_IDENTITY_TOKEN.
Às vezes, a Política de Confiança de uma função pode estar mal configurada e, em vez de conceder acesso AssumeRole à conta de serviço esperada, ela concede acesso a todas as contas de serviço. Portanto, se você for capaz de escrever uma anotação em uma conta de serviço controlada, poderá acessar a função.
Verifique a página a seguir para obter mais informações:
Encontrar Pods e SAs com Funções IAM no Cluster
Este é um script para iterar facilmente sobre todos os pods e definições de sas procurando por aquela anotação:
Função IAM do Node
A seção anterior tratava de como roubar Funções IAM com pods, mas observe que um Node do cluster K8s será uma instância dentro da nuvem. Isso significa que é altamente provável que o Node tenha uma nova função IAM que você pode roubar (observe que geralmente todos os nós de um cluster K8s terão a mesma função IAM, então pode não valer a pena verificar cada nó).
No entanto, há um requisito importante para acessar o endpoint de metadados do nó, você precisa estar no nó (sessão ssh?) ou pelo menos ter a mesma rede:
Roubar Token de Função IAM
Anteriormente, discutimos como anexar Funções IAM a Pods ou até mesmo como escapar para o Node para roubar a Função IAM que a instância tem anexada a ela.
Você pode usar o seguinte script para roubar as suas novas e trabalhadas credenciais de função IAM:
Referências
Última actualización