免费使用的公用事业扫描云环境的风险容器
使用Kubernetes协调集装箱环境的集群管理员可以通过Kubiscan的名字来缩小其攻击表面。
在Black Hat 2020的虚拟阿森纳计划的开幕早晨,安全研究员eviatar gerzi解释了Kubiscan拖网如何获得攻击者可能利用损害簇的风险权限的环境。
确保软件及其依赖关系在计算环境之间无缝过渡,在追求敏捷软件开发方面,容器变得无价。
和根据云监控服务Datadog,截至2019年,约有45%的客户运行容器使用Kubernetes。
但是现在由Cloud Native Computing Foundation维护的Google创建的Kubernetes使用了基于角色的访问控制可能容易受到操纵的授权。
“ Kubiscan对危险或包含敏感数据的容器进行了快速审查,”在赛伯拉克实验室工作的Gerzi告诉每日swbeplay2018官网ig在他的演讲之前开源智能追踪。
这为管理员提供了减轻他们所需的潜在风险的可见性。
他们来越大
Gerzi说,环境越大,Kubiscan变得越引人注目。
他解释说:“其中一些人需要管理拥有一千多个容器的大型环境,并且很容易失去对每个容器的控制。”“像Kubiscan这样的工具为最脆弱的特定容器提供了很好的图片。
Gerzi补充说:“ Kubiscan向您展示了攻击者将尝试在与容器的第一个连接中利用它们的位置。”“有了这些信息,您可以显着降低攻击表面。”
有关的云安全:Microsoft启动了Kubernetes的ATT&CK启发矩阵
Kubiscan可以扫描包含特权服务帐户令牌的POD,可以滥用该令牌以发射特权升级攻击或损害集群。
Gerzi说:“这些令牌通常安装在容器内部的默认位置。”他还专门研究Docker漏洞。
“找到这些令牌的攻击者可以检查其权限,如果它具有特权权限,则可以用于集群中的横向运动。”
在六月,每日swbeplay2018官网ig报道了一对法国研究人员赚取的漏洞赏金发射之后服务器端请求伪造((SSRF)攻击对Microsoft Azure托管的Kubernetes环境的攻击,导致特权升级。
Rancher Labs的首席执行官Darren Shepherd,也是发现2018年Kubernetes的特权升级脆弱性是该平台有史以来第一个关键缺陷。
过滤结果
无论您是寻找特权用户,角色还是豆荚,Gerzi都警告说,Kubiscan扫描有时可以产生笨拙的结果。
“但是,通过使用过滤器开关(即通过名称空间)或自定义默认值风险_ROLES.YAML申请更具体的规则,您可以删除太多结果的开销。”他说。
阅读更多来自美国2020年Black Hat的最新消息
用户可以使用名称空间开关过滤结果,-ns <名称空间>。如果结果与优先列有关,则可以通过-p
示例方案
伊迪亚(Eviatar Gerzi)回忆起“一次客户参与度”,在那里他扫描了销量安装的秘密。
“一个容器有一个名为'kubeconfig'的文件的卷”,表明存在凭据。
“我检查了文件,它与特权用户有关,该用户可以列出正在运行的名称空间中的所有秘密。”
In such a scenario, the researcher recommends “removing the unnecessary permissions, moving to other namespace if possible or use ‘get->secrets’ permissions for a specific hardcoded name instead of ‘list->secrets’ that can show you all the secrets.”
Gerzi还探索了Kubiscan如何在2018年纠正Kubernetes的基于许可的威胁博客文章。