“Bad Pods: Kubernetes Pod Privilege Escalation”
Статья о 8 не безопасных конфигураций для
#1: Все разрешено
#2:
#3: Только
#4: Только
#5: Только
#6: Только
#7: Только
#8: Ничего не разрешено
Сценарии расположены в порядке от максимального к минимальному влиянию на безопасность. При этом в каждом случаи описано: что может сделать атакующий, благодаря чему и ссылка на пошаговое повторение сценария со ссылками на другие полезные материалы по теме.
Автор также выложил репозиторий со всеми манифестами, и вы можете повторить все описанное в статье. Материал полезен как пентестерам, так и людям, отвечающим за безопасность в
Общий посыл не забываем про принцип наименьших привилегий (
P.S. Если атакующий попал в такой Pod через RCE, то он не знает о этих свойствах Pod и будет итеративно перебирать эти сценарии, тем самым создавая много аномальной активности внутри ;)
Статья о 8 не безопасных конфигураций для
Pod и соответствующие способы для повышения привилегий. Предполагается что у атакующего есть или возможность создать Pod с такой конфигурацией или он в него попал тем или иным образом. Рассматриваются такие свойства Pod и их сочетания как: hostNetwork, hostPID, hostIPC, hostPath, privileged (список на самом деле можно и расширить):#1: Все разрешено
#2:
Privileged и hostPid#3: Только
Privileged#4: Только
hostPath#5: Только
hostPid#6: Только
hostNetwork#7: Только
hostIPC #8: Ничего не разрешено
Сценарии расположены в порядке от максимального к минимальному влиянию на безопасность. При этом в каждом случаи описано: что может сделать атакующий, благодаря чему и ссылка на пошаговое повторение сценария со ссылками на другие полезные материалы по теме.
Автор также выложил репозиторий со всеми манифестами, и вы можете повторить все описанное в статье. Материал полезен как пентестерам, так и людям, отвечающим за безопасность в
Kubernetes.Общий посыл не забываем про принцип наименьших привилегий (
principal of least privilege).P.S. Если атакующий попал в такой Pod через RCE, то он не знает о этих свойствах Pod и будет итеративно перебирать эти сценарии, тем самым создавая много аномальной активности внутри ;)