k8s对外攻击面总结

已于 2022-08-06 10:56:16 修改
阅读量9.3k 收藏 31
点赞数 7
分类专栏: 渗透测试 文章标签: 安全 安全漏洞 渗透测试 网络安全 kubernetes
于 2021-12-19 19:13:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w1590191166/article/details/122028001
版权

目录

1.k8s简介

kubernetes简称 k8s,是一个由google开源的,用于自动部署,扩展和管理容器化应用程序的开源系统。在B站内部,k8s在管理生产级容器和应用服务部署已经有较为广泛和成熟的应用。通过k8s,可跨多台主机进行容器编排、快速按需扩展容器化应用及其资源、对应用实施状况检查、服务发现和负载均衡等。

1.1.基础架构

k8s集群由Master节点和Worker节点组成:

  • Master节点负责资源调度,调度应用,维护状态和应用扩容等。
  • Node节点上跑着应用服务,每个Node节点有一个kubelet,负责node与master之间的通信。
    在这里插入图片描述

用户端一般通过kubectl命令行工具与kube-apiserver进行交互,当然如果不嫌麻烦也可以直接通过调用kube-apiserver的api来交互。用户端命令下发通常流程如下:
(1)客户端根据用户需求,调用kube-apiserver相应api
(2)kube-apiserver根据命令类型,联动master节点内的kube-controller-manager和kube-scheduler等组件,通过kubelet进行下发新建容器配置或下发执行命令等给到对应node节点
(3)node节点与容器进行交互完成下发的命令并返回结果
(4)master节点最终根据任务类型将结果持久化存储在etcd中。

1.2.组件

k8s集群主要由以下组件组成:
(1)kube-apiserver:k8s master节点api服务器,以REST API服务形式提供接口,作为整个k8s的控制入口。
(2)kube-controller-manager:执行整个k8s的后台任务,包括节点状态状况、Pod个数、Pods和Service的关联等。
(3)kube-scheduler:接收来自kube-apiserver创建Pods任务,通过收集的集群中所有node节点的资源负载情况分配到某个节点。
(4)etcd:k8s的键值对形式数据库,保存了k8s所有集群数据的后台数据库
(5)kube-proxy:运行在每个node节点上,负责pod网络代理。定时从etcd获取到service信息来做相应的策略。
(6)kubelet:运行在每个node节点上,作为agent,接收分配该节点的pods任务及管理容器,周期性获取容器状态,反馈给kube-apiserver。

2.k8s对外攻击面

本节会详细阐述各k8s主要组件的对外攻击面利用。另外因篇幅有限,以下小节中提到的具体逃逸步骤和原理不会详细展开。

2.1.kube-apiserver

  • 漏洞名称:kube-apiserver未授权
  • 漏洞概述:k8s api server存在未授权访问,攻击者可通过kubectl创建恶意pod或控制已有pod,后续可尝试逃逸至宿主机
  • 威胁等级:高危
  • 修复建议:使用安全端口替代8080端口,并使用–tls-cert-file参数开启证书认证
  • 利用过程:
    (1)访问默认8080端口,若存在以下回显,则漏洞存在
    在这里插入图片描述

(2)访问http://x.x.x.x:8080/api/v1/namespaces/kube-system/secrets/,获取kube-system的token
在这里插入图片描述
(3)创建kubectl配置文件,指定目标地址和步骤2中拿到的token等
在这里插入图片描述

(4)kubectl --kubeconfig=./test_config get pod -n kube-system -o wide成功通过kubectl使用kube-system的token获取pod列表。之后可进一步创建pod或控制已有pod进行命令执行等操作
在这里插入图片描述

2.2.kubelet

  • 漏洞名称:kubelet未授权
  • 漏洞概述:k8s node对外开启10250(kubelet API)和10255端口(readonly API),攻击者可创建恶意pod或控制已有pod,后续可尝试逃逸至宿主机
  • 威胁等级:高危
  • 修复建议:
    (1)readOnlyPort=0:关闭只读端口(默认 10255);
    (2)authentication.anonymous.enabled:设置为 false,不允许匿名访问 10250 端口;
    (3)authentication.x509.clientCAFile:指定签名客户端证书的 CA 证书,开启 HTTP 证书认证;authentication.webhook.enabled=true:开启 HTTPs bearer token 认证;
  • 漏洞利用:
    (1)访问https://x.x.x.x:10250/pods,有如下回显则漏洞存在
    在这里插入图片描述
    (2)使用kubeletctl批量获取pod等信息:./kubeletctl pods -s x.x.x.x
    在这里插入图片描述

(3)可使用kubeletctl在特权pod内执行命令,挂载宿主机根目录,通过向宿主机批量写入ssh公钥逃逸到宿主机
在这里插入图片描述在这里插入图片描述

2.3.etcd

  • 漏洞名称:etcd未授权
  • 威胁等级:高危
  • 漏洞概述:etcd若存在未授权,攻击者导出全量etcd配置,获取k8s认证证书等关键配置,进而通过kubectl创建恶意pod或控制已有pod,后续可尝试逃逸至宿主机
  • 修复建议:etcd增加证书校验
  • 漏洞利用:
    (1)访问https://x.x.x.x:2379/v2/keys,有如下回显则漏洞存在
    在这里插入图片描述

(2)通过etcdctl工具,导出etcd数据库中内容:etcdctl --insecure-transport=false --insecure-skip-tls-verify --endpoints=https://IP:2379/ get / --prefix --keys-only | sort | uniq | xargs -I{} sh -c ‘ETCDCTL_API=3 ./etcdctl --insecure-transport=false --insecure-skip-tls-verify --endpoints=https://IP:2379 get {} >> output.data && echo “” >> output.data’,通过搜索关键字获取kube-system secret
在这里插入图片描述
(3)curl --header -k “Authorization: Bearer TOKEN” -X GET https://x.x.x.x:6443/api,通过请求kube-apiserver验证token是否有效。
在这里插入图片描述

2.4.dashboard

  • 漏洞名称:k8s dashboard认证绕过(CVE-2018-18264)
  • 威胁等级:高危
  • 漏洞概述:攻击者可跳过登录,直接进入dashboard web页获取pod和job等状态,并可创建恶意pod,尝试逃逸至宿主机
  • 修复建议:关闭dashboard的–enable-skip-login
  • 漏洞利用:
    (1)登录页面选择跳过登录
    在这里插入图片描述

(2)可通过dashboard获取pod、node和job等状态
在这里插入图片描述在这里插入图片描述

(3)若业务配置错误或为了方便给 Kubernetes dashboard 绑定 cluster-admin等角色,攻击者可直接在界面上创建特权 pod 进行容器逃逸
在这里插入图片描述
在这里插入图片描述

2.5.docker

  • 漏洞名称:docker未授权
  • 威胁等级:高危
  • 漏洞概述:攻击者可利用对外暴露的docker remote api,执行docker命令,
  • 修复建议:生成证书进行api校验:docker -d --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem -H=tcp://x.x.x.x:2375 -H unix:///var/run/docker.sock
  • 漏洞利用:
    (1)访问http://x.x.x.x:2376/version可获取docker版本等信息,证明存在漏洞
    在这里插入图片描述
    (2)通过调用docker未授权接口,创建特权容器,挂载宿主机根目录
    在这里插入图片描述

(3)后续可通过写入ssh公钥和crontab等,完成逃逸和持久化
在这里插入图片描述

2.6.kube-proxy

  • 漏洞名称:kube-proxy配置错误
  • 威胁等级:高危
  • 漏洞概述:攻击者可通过kube-proxy代理来未授权访问本地kube-apiserver组件,创建恶意pod或控制已有pod,后续可尝试逃逸至宿主机
  • 修复建议:kube-proxy禁止对外直接使用–address=0.0.0.0参数
  • 漏洞利用:
    (1)该漏洞一般为业务或开发为了方便,通过kubectl proxy --address=0.0.0.0命令,将kube-apiserver暴露到0.0.0.0,且默认未授权
    在这里插入图片描述

(2)之后请求8001端口即可未授权访问kube-apiserver,利用过程与2.2相同
在这里插入图片描述

3.漏洞检测

基于攻防演练、红蓝对抗的攻击方视角,为避免打poc(检测对外组件类漏洞)直接导致入侵检测系统告警或被防守方感知,周期性自动化扫描检测一般遵从以下原则:
(1)尽量不直接rce执行命令,通过页面返回特征、组件版本或上下文关联等进行检测
(2)在1的基础上,宁可一定量的误报,而非漏报
(3)由于互联网甲方资产较多,每个poc的请求量需严格控制,能少则少
另外,收集到的资产多少和准确度也是个影响扫描的重要因素,资产收集不仅仅依赖于传统前期信息收集来源的资产,也需要对已有数据(来自互联网或自己存下的)进行深入二次分析,如:

  • 域名存活性扫描中的response header,提取其中csp和Access-Control-Allow-Origin等
  • 路径爆破中的crossdomain.xml
  • 移动端app中的域名和接口等
  • ssl证书中的DNS Names等

  • 在这里插入图片描述
    在这里插入图片描述

在第二节中提到的大多数组件未授权漏洞,均可通过页面返回特征进行匹配,少数漏洞如kubelet的10250端口和10255端口未授权,由于返回特征类似,不一定要根据返回页面细节将这两个端口未授权漏洞进行区分。
在这里插入图片描述
配合自研分布式漏扫,即可进行周期性检测:
在这里插入图片描述

4.总结

本文介绍了k8s相关基础知识,并详细阐述了k8s主要组件对外攻击面和利用过程,最后提出了针对k8s对外攻击面的漏洞检测思路和方法。

ATpiu
关注
  • 7
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s dashboard 部署总结
03-31
k8s dashboard 部署总结 k8s dashboard 部署总结 k8s dashboard 部署总结
K8S漏洞修复
weixin_50712581的博客
06-12 1219
客户环境存在K8S漏洞 分别是:Kubernetes kube-apiserver 输入验证错误漏洞(CVE-2021-25735) Kubernetes kube-apiserver信息泄露漏洞(CVE-2021-25737) 这两个漏洞官方给的建议就是升级到他们修复的版本。 以及因为api-server组件引起的openssl漏洞
扒一扒过去一年K8S高危漏洞都有哪些?
力哥讲技术
03-13 1272
在过去的一年里,Kubernetes继续稳固其在关键基础设施领域的地位,成为无论是小型还是大型组织都广受欢迎的选择。然而,随着更多开发人员将Kubernetes部署与其他云原生组件相结合,构建出更加完善的工作系统时,这也使得Kubernetes更容易遭受攻击。更多的组件和更加复杂的基础架构也增加了易受攻击的范围,这是需要我们运维人员关注的。根据 Red Hat 的2022 年 Kubernetes 安全状况报告:https://www.redhat.com/rhdc/managed-files/cl-sta
k8s安全测评漏洞:SSL-TLS协议信息泄露漏洞(CVE-2016-2183)
最新发布
dzqxwzoe的博客
05-30 1862
扫描结果重点关注warnings,64-bit block cipher 3DES vulnerable to SWEET32。k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。增加后kube-apiserver漏洞即修复成功。attack,漏洞修复成功则没有该项提示。可以看到没有了warnings这项了。可以看到没有了warnings这项了。可以看到没有了warnings这项了。可以看到没有了warnings这项了。增加后etcd漏洞即修复成功。只需要修复最后一项即可。
【云攻防系列】从攻击者视角聊聊K8S集群安全(上)
xnxqwzy的博客
07-29 351
作为云原生管理与编排系统的代表,Kubernetes(简称K8S)正受到越来越多的关注,有报告[1]显示,96% 的组织正在使用或评估K8S,其在生产环境下的市场占有率可见一斑。K8S 的功能十分强大,其系统复杂性也同样较高,一般而言,程序越复杂则越容易存在安全问题,自然而然地,K8S 集群也同样面临着严重的安全威胁,如 K8S组件的未授权访问、容器逃逸和横向攻击等。我们说攻和防是相互促进、相伴而生的,作为相关安全人员首先应该从整体上把握业务架构可能面临的安全威胁才有可能做好防护。
安全K8S API Server 未授权访问
王嘟嘟的博客
10-30 2215
通常情况下k8s会有两个API服务,一个是8080,还有一个是6443。6443提供https服务,并且不对外开放,支持认证和授权服务,默认情况下8080是不启动的。
K8S安全风险及防护建议
ZAWX_NETSTARSEC的博客
07-17 970
例如,攻击者可以创建一个特权容器,该容器可以访问宿主机上的资源,并在该容器内执行命令,从而使其获得更高的权限。事中,通过融合图计算、身份欺骗等技术,对K8S进行全方位的监测,及时发现针对K8S漏洞利用、身份窃取等风险,在遭受攻击的第一时间及时发现攻击者,对攻击行为进行阻断。比如攻击者可通过容器中运行的SSH服务执行命令,如果攻击者通过暴力破解或者其他方法获得了容器的有效凭证,他们就可以通过SSH获得对容器的远程访问。但同时,K8S也因其高度复杂的架构和众多组件,成为了攻击者攻击的目标之一。
k8s课件k8s课件k8s课件k8s课件
02-15
k8s基础知识点 本节将对k8s的基本概念、监控与日志、应用程序生命周期管理、调度、存储、集群安全等方面进行详细的解释,旨在帮助读者深入了解k8s的各个方面。 k8s基础概念 k8s是一种容器集群管理系统,由Google...
k8s搭建Nacos集群
05-26
k8s搭建Nacos集群,制作Java运行容器镜像,再制作Nacos镜像 Nacos版本是:2.1.0 说明: 如果想搭建:2.2.0也根据文档步骤操作即可
K8s 部署 MongoDB(副本集)
02-03
mongodb的集群搭建方式主要有三种,主从模式,Replica set模式,sharding模式, 三种模式各有优劣,适用于不同的场合,属Replica set应用最为广泛,主从模式现在用的较少,sharding模式最为完备,但配置维护较为复杂 ...
k8s安装Nacos集群
05-21
k8s搭建Nacos集群,制作Nacos镜像 Nacos版本是:2.0.2
K8s渗透思路
SHELLCODE_8BIT的博客
04-29 908
渗透测试k8s的3种攻击手段(Kubernetes、未授权漏洞,端口:8080、6443、10250)_墨痕诉清风的博客-CSDN博客_k8s漏洞
云上攻防-云原生篇&K8s安全&Config泄漏&Etcd存储&Dashboard鉴权&Proxy暴露
今天是几号的博客
10-15 3822
第一种:没有配置指定--client-cert-auth 参数打开证书校验,暴露在外Etcd服务存在未授权访问风险。 -暴露外部可以访问,直接未授权访问获取secrets和token利用 第二种:在打开证书校验选项后,通过本地127.0.0.1:2379可免认证访问Etcd服务,但通过其他地址访问要携带cert进行认证访问,一般配合ssrf或其他利用,较为鸡肋。 -只能本地访问,直接未授权访问获取secrets和token利用 第三种:实战中在安装k8s默认的配置2379只会监听本地,如果访问没设置0
helm repo add本地harbor仓库时使用--insecure-skip-tls-verify参数忽略https证书校验
学亮编程手记
08-04 1246
helm repo add本地harbor仓库时使用--insecure-skip-tls-verify参数忽略https证书校验
K8s攻击案例:组件未授权访问导致集群入侵
12-25 8296
K8s集群往往会因为组件的不安全配置存在未授权访问的情况,如果攻击者能够进行未授权访问,可能导致集群节点遭受入侵。比较常见的的组件未授权访问漏洞,主要包括 API Server 未授权访问、kubelet 未授权访问、etcd 未授权访问、kube-proxy 不安全配置、Dashboard未授权访问。接下来,我们将对这几个未授权访问的攻击场景和攻击过程进行详细的分析。01、 API Server...
KubernetesK8S)各种攻击方法
网络安全。
01-25 1329
Kubernetes可以约束一个 Pod 只能在特定的节点上运行。节点亲和性是Pod的一种属性,它使 Pod 被吸引到一类特定的节点 (这可能出于一种偏好,也可能是硬性要求)。污点(Taint)则相反——它使节点能够排斥一类特定的 Pod。容忍度(Toleration)是应用于 Pod 上的,允许(但并不要求)Pod 调度到带有与之匹配的污点的节点上。我们可以控制Pod创建时候的污点来向集群内的节点进行喷洒创建。
【CKA考试笔记】十五、安全管理:验证与授权
热门推荐
戴陵FL的博客
08-08 1万+
k8s的认证方式,k8s中的权限、用户、角色,service account
k8s漏洞列表
SHELLCODE_8BIT的博客
07-20 265
Official CVE Feed | Kubernetes
警报:新的 Kubernetes 漏洞可对 Windows 端点实施远程攻击
小司机的奥拓
09-18 175
不久前,研究人员在 Kubernetes 中发现的三个可被利用并相互关联的高危安全漏洞,这些漏洞可在集群内的 Windows 端点上以提升权限的方式实现远程代码执行。这些漏洞被标记为 CVE-2023-3676、CVE-2023-3893 和 CVE-2023-3955,CVSS 评分为 8.8,影响所有带有 Windows 节点的 Kubernetes 环境。继 Akamai 于 2023 年 7 月 13 日披露后,这些漏洞的修复程序于 2023 年 8 月 23 日发布。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值