Kubernetes RBAC Security Pitfalls
Наличие настроенного RBAC в k8s далеко не всегда означает должный уровень безопасности. Нельзя забывать, что и при настройки RBAC могут совершаться ошибки, которые приведут к повышению привилегий злоумышленником. Так, например, до 2019 года можно было стать администратором кластера получив доступ к токену сервис-аккаунта clusterrole-aggregation-controller. Однако права sa были изменены с '*' на 'escalate'. Тем не менее, нам ничего не мешает сделать kubectl edit clusterrole system:controller:clusterrole-aggregation-controller и изменить apiGroups, resources и verbs на '*'.
Хороший и одновременно короткий пост про другие ошибки RBAC можно прочитать здесь:
- Kubernetes RBAC Security Pitfalls
Также можно прочитать про использование глагола LIST, который позволяет раскрыть секреты k8s:
- When LIST is a Lie in Kubernetes
Статья про аудит RBAC:
- Tools and Methods for Auditing Kubernetes RBAC Policies
#k8s #ops #attack
>>Click here to continue<<