安全風(fēng)險(xiǎn)研究綠盟科技/梅花K戰(zhàn)隊(duì)王偉目錄安全防御策略主動(dòng)防御實(shí)戰(zhàn)研究安全防御策略主動(dòng)防御基礎(chǔ)概念kubernetes授權(quán)認(rèn)證流程(認(rèn)證)·開始請(qǐng)求：用戶或應(yīng)用服務(wù)對(duì)APIServer發(fā)起任意操作(認(rèn)證)(授權(quán))Webhook(授權(quán))Webhook(準(zhǔn)入控制)(準(zhǔn)入控制)nodesservicesendpoinssecretspods·數(shù)據(jù)寫入：最終資源寫入etcdnodesservicesendpoinssecretspods使用X.509客戶端證書進(jìn)行身份驗(yàn)證。用戶需要擁有有效的證書，并問。集成外部身份提供商進(jìn)行身份驗(yàn)證。用戶通過身份提供商進(jìn)行身份驗(yàn)證，然后獲得一個(gè)JWT的認(rèn)證token,K8s集群會(huì)驗(yàn)證該JWT。不正確的證書配置SAKubernetes為每個(gè)Pod自動(dòng)創(chuàng)建ServiceAccount,并為其分配一個(gè)不安全的權(quán)限配置Token濫用(過期問題)定義作用范圍定義命名空間內(nèi)的資源操作權(quán)限具體命名空間，無法跨空間e定義集群級(jí)資源(node,磁盤等資源)或者跨命名空間的聚合權(quán)限集群資源g將Role綁定到某個(gè)具體的主體命名空間將ClusterRole綁定到具體的主體中集群資源配置風(fēng)險(xiǎn)：默認(rèn)服務(wù)賬戶type:kubernetes.io/service-acc在Kubernetes中，每個(gè)命名空間都有如果未明確禁用或替換，新創(chuàng)建的Pod默認(rèn)會(huì)使用這個(gè)ServiceAccount。如果這個(gè)defaultServiceAccount被綁定了高權(quán)限，那么任何在該命名空間中運(yùn)行的Pod都可以繼承這些高權(quán)限，即使它們不需要。配置風(fēng)險(xiǎn)：權(quán)限過度授予ClusterRole中使用verbs:["*]和resources:["**]:這種配置賦予了用戶或服務(wù)賬戶cluster-admin級(jí)別的權(quán)限，可以對(duì)集群中的所有資源執(zhí)行任何操作。即使是在Role中對(duì)特定命名空間賦予["*"1]權(quán)限，也相當(dāng)于該命名空間的管理員，可能導(dǎo)致橫向滲透。配置風(fēng)險(xiǎn)：身份冒用-impersonate權(quán)限在容器中獲取當(dāng)前容器的SA配置信息確定是否具備可以利用的可能發(fā)現(xiàn)當(dāng)使用偽造的身份查看權(quán)限的時(shí)候是全量的資源對(duì)象的*權(quán)限代表可以通過偽造集群管理員的身份來進(jìn)行集群管理配置風(fēng)險(xiǎn)：pods資源組配置錯(cuò)誤攻擊者通過kubectlauthcan-i--list查看當(dāng)前容器的SA賬戶對(duì)應(yīng)的rbac權(quán)限，發(fā)現(xiàn)可以對(duì)apigroups的pods組資源進(jìn)行create的操作，這就可以通過該SA進(jìn)行特權(quán)容器的創(chuàng)建從[/version]攻擊者獲取容器訪問核心風(fēng)險(xiǎn)：·RBAC權(quán)限本身無法阻止特權(quán)容器創(chuàng)建·需依賴Webhook服務(wù)進(jìn)行準(zhǔn)入控制·failurePolicy配置不當(dāng)導(dǎo)致安全防線失效name:pod-security-webhurl:""https://webhook-service.xxx.xxx/vafailurePolicy:Ignore放行成功創(chuàng)建特權(quán)容器容器逃逸/權(quán)限提升容器中的SA權(quán)限針對(duì)secrets的信息獲取權(quán)限配置錯(cuò)誤導(dǎo)致安全風(fēng)險(xiǎn)配置風(fēng)險(xiǎn)：ServiceAccount過度授權(quán)利用攻擊者根據(jù)收集到的信息，進(jìn)行相關(guān)資源的操作，本案例中secrets直接被讀取獲取敏感信息V1","kind":"Secret","metadata":["annotations":},"name":"database-credentials","namespa攻擊者通過在容器中使用kubectlauthcan-i--list查看當(dāng)前容器的SA的權(quán)限，收集本容器的SA賬戶權(quán)限進(jìn)行下一步攻擊實(shí)戰(zhàn)研究場(chǎng)景研究影響：攻擊的最終目標(biāo)，影響：攻擊的最終目標(biāo)，包括數(shù)據(jù)泄露、服務(wù)中斷、集群接管等。極尋找可利用的RBAC權(quán)限，這是權(quán)限提升的關(guān)鍵一步。權(quán)限提升：利用各種漏權(quán)限提升：利用各種漏洞和配置缺陷，獲取更高的權(quán)限，例如綁定高權(quán)限角色、模擬節(jié)點(diǎn)等。常是利用應(yīng)用程序漏洞、配置錯(cuò)誤等方式攻陷了集群中橫向移動(dòng)：在集群內(nèi)部擴(kuò)散，訪問其他資源和服的某個(gè)橫向移動(dòng)：在集群內(nèi)部擴(kuò)散，訪問其他資源和服RBAC權(quán)限利用：攻擊者利用發(fā)現(xiàn)到提升權(quán)限或橫向移動(dòng)的目的。錯(cuò)誤配置示例：用戶通過CAS登錄使用Token訪問K8sAPIToken泄露途徑瀏覽器歷史記錄日志文件中明文記錄網(wǎng)絡(luò)抓包獲取攻擊者冒用身份執(zhí)行未授權(quán)操作風(fēng)險(xiǎn)點(diǎn)：·CAS用戶組直接映射為K8s高權(quán)限角色·缺乏細(xì)粒度的權(quán)限控制(由集群可能會(huì)被完全攻陷·四層架構(gòu)：接入層→應(yīng)用層→業(yè)務(wù)層→業(yè)務(wù)層用戶的請(qǐng)求首先經(jīng)過APIGateway,然后到達(dá)Web應(yīng)用。當(dāng)用戶登錄業(yè)務(wù)層級(jí)存讀寫級(jí)存讀寫微服務(wù)攻擊鏈web應(yīng)用容器：僅能查看Pod和Service信息。認(rèn)證服務(wù)：可以讀取所有Secrets,方便用于用戶身份認(rèn)證，未做到權(quán)限最小化原則，服務(wù)sa的token可能具備查看所有-訂單服務(wù)：方便調(diào)試訂單，開發(fā)人員可能過度授予權(quán)限?！卧旃芾韱TTokenNexus集成架構(gòu)與風(fēng)險(xiǎn)點(diǎn)Python等各種制品代理緩存：緩存外部倉庫(如DockerHub、存儲(chǔ)在PV持久卷存儲(chǔ)在PV持久卷攻擊初始：Nexus未授權(quán)訪問安全問題：代碼+密碼憑據(jù)泄露三條攻擊路徑：1.K8s配置文件→直連集群2.令牌復(fù)用→Harbor→K8s防護(hù)關(guān)鍵：Nexus訪問控制+憑據(jù)加密擊Kubernetes集群Nexus未授權(quán)突破集群防御71f1fbba8209a51C5761e83286be10aa1BdE508a5296158Bb6f9eCD961616\”,\"created\";\"2022-02-23709:37:28.8019267Z\","comment\":buildkit.dockerfile.vo,cmd\":{container_con/bin/sh-esed'sesessions*requireds*pam_loqinuid,soesessionoptionalpan_loginuid,so@g'-i/ete/pam.d/sshd#buildkit\"),\"parent\":\"cc3e4fe32af00f73cb29ba9f0f1f93a792a6203299862351b0ae49d65063a8/bin/sh-csed-is/PermitRootLoqinprohibit-password/PermitRootLoginyes/'/etc/ssh/sshd_config#buildkit\",parent\”;\"34aec2703edacc23b13e3521808636e92d“:('container_config\":\"RU“:('container_config\":\"RU/bin/sh-cecho'root:chpasswaebuildkit\",parent\":\"763eaf1f35abaf3d1f5176c5b6f0ca3b32fbd4234fe415a6■■/bin/sh-emkdir/var/runsshd#buildkit\“),\"parent\":\“4aca?3037ccde7Be123072619af95a4ef01323b3688d20af1fe127100a6a\"3""v1Compatibility":(Vid\":\"4da3b00ac3aa3deb88ffe0b58e76e98d0b8efa785c88c8806389618a583fc2fa\",\"created\":\"2021-08-31701:21:30.6722293552,\“cmd\":{\"container_config\":\"/bin/sh-c#(nop)CMD"/bin/bashI!“小"),\“parent\“:\"e536501ea332eef595ba4171f4d8ce41440d20d6b039811602fa275e8df5a\“,\'throwaway\":true}"RBAC攻擊流程總結(jié)AdmissionController利用PSP/PSAServiceAccount利用PSP/PSA防御策略日常防護(hù)RBAC防御的第一道防線是日常積極正確的安全運(yùn)維與開發(fā)，從源頭降低攻擊面。在業(yè)務(wù)層面，我們必須嚴(yán)格遵循最小權(quán)限原則，并定期審查RBAC策略，確保權(quán)限配置的合理性。在架構(gòu)與構(gòu)建層面，通過將安全策略左移，在代碼提交和部署階段就進(jìn)行強(qiáng)制檢查。利用準(zhǔn)入控制器在APIServer層面攔截高風(fēng)險(xiǎn)操作，配合及時(shí)更新Kubernetes版本，共同構(gòu)建起堅(jiān)實(shí)的安全基石業(yè)務(wù)策略通過啟用APIServer審計(jì)日志和持續(xù)監(jiān)控集群安全事件，我們可以快速發(fā)現(xiàn)RBAC濫用行為，應(yīng)急人員進(jìn)行深入的溯源分析，確定攻擊的入口機(jī)器以及內(nèi)網(wǎng)橫向中涉及到的容器與賬戶，持續(xù)改進(jìn)防御策略和一些容器的錯(cuò)誤配置，從而不斷提升集群的整體安全韌性。攻擊者K8sAPIServer