k8s对外攻击面总结

已于 2022-08-06 10:56:16 修改
阅读量9.3k 收藏 31
点赞数 7
分类专栏: 渗透测试 文章标签: 安全 安全漏洞 渗透测试 网络安全 kubernetes
于 2021-12-19 19:13:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w1590191166/article/details/122028001
版权

目录

1.k8s简介

kubernetes简称 k8s,是一个由google开源的,用于自动部署,扩展和管理容器化应用程序的开源系统。在B站内部,k8s在管理生产级容器和应用服务部署已经有较为广泛和成熟的应用。通过k8s,可跨多台主机进行容器编排、快速按需扩展容器化应用及其资源、对应用实施状况检查、服务发现和负载均衡等。

1.1.基础架构

k8s集群由Master节点和Worker节点组成:

  • Master节点负责资源调度,调度应用,维护状态和应用扩容等。
  • Node节点上跑着应用服务,每个Node节点有一个kubelet,负责node与master之间的通信。
    在这里插入图片描述

用户端一般通过kubectl命令行工具与kube-apiserver进行交互,当然如果不嫌麻烦也可以直接通过调用kube-apiserver的api来交互。用户端命令下发通常流程如下:
(1)客户端根据用户需求,调用kube-apiserver相应api
(2)kube-apiserver根据命令类型,联动master节点内的kube-controller-manager和kube-scheduler等组件,通过kubelet进行下发新建容器配置或下发执行命令等给到对应node节点
(3)node节点与容器进行交互完成下发的命令并返回结果
(4)master节点最终根据任务类型将结果持久化存储在etcd中。

1.2.组件

k8s集群主要由以下组件组成:
(1)kube-apiserver:k8s master节点api服务器,以REST API服务形式提供接口,作为整个k8s的控制入口。
(2)kube-controller-manager:执行整个k8s的后台任务,包括节点状态状况、Pod个数、Pods和Service的关联等。
(3)kube-scheduler:接收来自kube-apiserver创建Pods任务,通过收集的集群中所有node节点的资源负载情况分配到某个节点。
(4)etcd:k8s的键值对形式数据库,保存了k8s所有集群数据的后台数据库
(5)kube-proxy:运行在每个node节点上,负责pod网络代理。定时从etcd获取到service信息来做相应的策略。
(6)kubelet:运行在每个node节点上,作为agent,接收分配该节点的pods任务及管理容器,周期性获取容器状态,反馈给kube-apiserver。

2.k8s对外攻击面

本节会详细阐述各k8s主要组件的对外攻击面利用。另外因篇幅有限,以下小节中提到的具体逃逸步骤和原理不会详细展开。

2.1.kube-apiserver

  • 漏洞名称:kube-apiserver未授权
  • 漏洞概述:k8s api server存在未授权访问,攻击者可通过kubectl创建恶意pod或控制已有pod,后续可尝试逃逸至宿主机
  • 威胁等级:高危
  • 修复建议:使用安全端口替代8080端口,并使用–tls-cert-file参数开启证书认证
  • 利用过程:
    (1)访问默认8080端口,若存在以下回显,则漏洞存在
    在这里插入图片描述

(2)访问http://x.x.x.x:8080/api/v1/namespaces/kube-system/secrets/,获取kube-system的token
在这里插入图片描述
(3)创建kubectl配置文件,指定目标地址和步骤2中拿到的token等
在这里插入图片描述

(4)kubectl --kubeconfig=./test_config get pod -n kube-system -o wide成功通过kubectl使用kube-system的token获取pod列表。之后可进一步创建pod或控制已有pod进行命令执行等操作
在这里插入图片描述

2.2.kubelet

  • 漏洞名称:kubelet未授权
  • 漏洞概述:k8s node对外开启10250(kubelet API)和10255端口(readonly API),攻击者可创建恶意pod或控制已有pod,后续可尝试逃逸至宿主机
  • 威胁等级:高危
  • 修复建议:
    (1)readOnlyPort=0:关闭只读端口(默认 10255);
    (2)authentication.anonymous.enabled:设置为 false,不允许匿名访问 10250 端口;
    (3)authentication.x509.clientCAFile:指定签名客户端证书的 CA 证书,开启 HTTP 证书认证;authentication.webhook.enabled=true:开启 HTTPs bearer token 认证;
  • 漏洞利用:
    (1)访问https://x.x.x.x:10250/pods,有如下回显则漏洞存在
    在这里插入图片描述
    (2)使用kubeletctl批量获取pod等信息:./kubeletctl pods -s x.x.x.x
    在这里插入图片描述

(3)可使用kubeletctl在特权pod内执行命令,挂载宿主机根目录,通过向宿主机批量写入ssh公钥逃逸到宿主机
在这里插入图片描述在这里插入图片描述

2.3.etcd

  • 漏洞名称:etcd未授权
  • 威胁等级:高危
  • 漏洞概述:etcd若存在未授权,攻击者导出全量etcd配置,获取k8s认证证书等关键配置,进而通过kubectl创建恶意pod或控制已有pod,后续可尝试逃逸至宿主机
  • 修复建议:etcd增加证书校验
  • 漏洞利用:
    (1)访问https://x.x.x.x:2379/v2/keys,有如下回显则漏洞存在
    在这里插入图片描述

(2)通过etcdctl工具,导出etcd数据库中内容:etcdctl --insecure-transport=false --insecure-skip-tls-verify --endpoints=https://IP:2379/ get / --prefix --keys-only | sort | uniq | xargs -I{} sh -c ‘ETCDCTL_API=3 ./etcdctl --insecure-transport=false --insecure-skip-tls-verify --endpoints=https://IP:2379 get {} >> output.data && echo “” >> output.data’,通过搜索关键字获取kube-system secret
在这里插入图片描述
(3)curl --header -k “Authorization: Bearer TOKEN” -X GET https://x.x.x.x:6443/api,通过请求kube-apiserver验证token是否有效。
在这里插入图片描述

2.4.dashboard

  • 漏洞名称:k8s dashboard认证绕过(CVE-2018-18264)
  • 威胁等级:高危
  • 漏洞概述:攻击者可跳过登录,直接进入dashboard web页获取pod和job等状态,并可创建恶意pod,尝试逃逸至宿主机
  • 修复建议:关闭dashboard的–enable-skip-login
  • 漏洞利用:
    (1)登录页面选择跳过登录
    在这里插入图片描述

(2)可通过dashboard获取pod、node和job等状态
在这里插入图片描述在这里插入图片描述

(3)若业务配置错误或为了方便给 Kubernetes dashboard 绑定 cluster-admin等角色,攻击者可直接在界面上创建特权 pod 进行容器逃逸
在这里插入图片描述
在这里插入图片描述

2.5.docker

  • 漏洞名称:docker未授权
  • 威胁等级:高危
  • 漏洞概述:攻击者可利用对外暴露的docker remote api,执行docker命令,
  • 修复建议:生成证书进行api校验:docker -d --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem -H=tcp://x.x.x.x:2375 -H unix:///var/run/docker.sock
  • 漏洞利用:
    (1)访问http://x.x.x.x:2376/version可获取docker版本等信息,证明存在漏洞
    在这里插入图片描述
    (2)通过调用docker未授权接口,创建特权容器,挂载宿主机根目录
    在这里插入图片描述

(3)后续可通过写入ssh公钥和crontab等,完成逃逸和持久化
在这里插入图片描述

2.6.kube-proxy

  • 漏洞名称:kube-proxy配置错误
  • 威胁等级:高危
  • 漏洞概述:攻击者可通过kube-proxy代理来未授权访问本地kube-apiserver组件,创建恶意pod或控制已有pod,后续可尝试逃逸至宿主机
  • 修复建议:kube-proxy禁止对外直接使用–address=0.0.0.0参数
  • 漏洞利用:
    (1)该漏洞一般为业务或开发为了方便,通过kubectl proxy --address=0.0.0.0命令,将kube-apiserver暴露到0.0.0.0,且默认未授权
    在这里插入图片描述

(2)之后请求8001端口即可未授权访问kube-apiserver,利用过程与2.2相同
在这里插入图片描述

3.漏洞检测

基于攻防演练、红蓝对抗的攻击方视角,为避免打poc(检测对外组件类漏洞)直接导致入侵检测系统告警或被防守方感知,周期性自动化扫描检测一般遵从以下原则:
(1)尽量不直接rce执行命令,通过页面返回特征、组件版本或上下文关联等进行检测
(2)在1的基础上,宁可一定量的误报,而非漏报
(3)由于互联网甲方资产较多,每个poc的请求量需严格控制,能少则少
另外,收集到的资产多少和准确度也是个影响扫描的重要因素,资产收集不仅仅依赖于传统前期信息收集来源的资产,也需要对已有数据(来自互联网或自己存下的)进行深入二次分析,如:

  • 域名存活性扫描中的response header,提取其中csp和Access-Control-Allow-Origin等
  • 路径爆破中的crossdomain.xml
  • 移动端app中的域名和接口等
  • ssl证书中的DNS Names等

  • 在这里插入图片描述
    在这里插入图片描述

在第二节中提到的大多数组件未授权漏洞,均可通过页面返回特征进行匹配,少数漏洞如kubelet的10250端口和10255端口未授权,由于返回特征类似,不一定要根据返回页面细节将这两个端口未授权漏洞进行区分。
在这里插入图片描述
配合自研分布式漏扫,即可进行周期性检测:
在这里插入图片描述

4.总结

本文介绍了k8s相关基础知识,并详细阐述了k8s主要组件对外攻击面和利用过程,最后提出了针对k8s对外攻击面的漏洞检测思路和方法。

ATpiu
关注
  • 7
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Tomcat 安全漏洞(CVE-2020-13935)复现
fwdwqdwq的博客
08-01 4949
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。ApacheTomcat中的WebSocket存在安全漏洞,该漏洞源于程序没有正确验证payload的长度。靶机配置Docker。...
K8S漏洞修复
weixin_50712581的博客
06-12 1227
客户环境存在K8S漏洞 分别是:Kubernetes kube-apiserver 输入验证错误漏洞(CVE-2021-25735) Kubernetes kube-apiserver信息泄露漏洞(CVE-2021-25737) 这两个漏洞官方给的建议就是升级到他们修复的版本。 以及因为api-server组件引起的openssl漏洞
【CKA考试笔记】十五、安全管理:验证与授权
戴陵FL的博客
08-08 1万+
k8s的认证方式,k8s中的权限、用户、角色,service account
k8s安全测评漏洞:SSL-TLS协议信息泄露漏洞(CVE-2016-2183)
最新发布
dzqxwzoe的博客
05-30 1942
扫描结果重点关注warnings,64-bit block cipher 3DES vulnerable to SWEET32。k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。增加后kube-apiserver漏洞即修复成功。attack,漏洞修复成功则没有该项提示。可以看到没有了warnings这项了。可以看到没有了warnings这项了。可以看到没有了warnings这项了。可以看到没有了warnings这项了。增加后etcd漏洞即修复成功。只需要修复最后一项即可。
【云攻防系列】从攻击者视角聊聊K8S集群安全(上)
yy1715713348的博客
07-21 530
作为云原生管理与编排系统的代表,Kubernetes(简称K8S)正受到越来越多的关注,有报告[1]显示,96% 的组织正在使用或评估K8S,其在生产环境下的市场占有率可见一斑。K8S 的功能十分强大,其系统复杂性也同样较高,一般而言,程序越复杂则越容易存在安全问题,自然而然地,K8S 集群也同样面临着严重的安全威胁,如 K8S组件的未授权访问、容器逃逸和横向攻击等。我们说攻和防是相互促进、相伴而生的,作为相关安全人员首先应该从整体上把握业务架构可能面临的安全威胁才有可能做好防护。
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
Karka_的博客
04-05 1036
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着,管理员可以加载一个微型服务,让规划器来找到合适的位置,同时,Kubernetes在系统提升工具以及人性化方面,让用户能够方便的部署自己的应用。零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习。
k8s dashboard 部署总结
03-31
k8s dashboard 部署总结 k8s dashboard 部署总结 k8s dashboard 部署总结
k8s课件k8s课件k8s课件k8s课件
02-15
k8s基础知识点 本节将对k8s的基本概念、监控与日志、应用程序生命周期管理、调度、存储、集群安全等方面进行详细的解释,旨在帮助读者深入了解k8s的各个方面。 k8s基础概念 k8s是一种容器集群管理系统,由Google...
k8s搭建Nacos集群
05-26
k8s搭建Nacos集群,制作Java运行容器镜像,再制作Nacos镜像 Nacos版本是:2.1.0 说明: 如果想搭建:2.2.0也根据文档步骤操作即可
K8s 部署 MongoDB(副本集)
02-03
mongodb的集群搭建方式主要有三种,主从模式,Replica set模式,sharding模式, 三种模式各有优劣,适用于不同的场合,属Replica set应用最为广泛,主从模式现在用的较少,sharding模式最为完备,但配置维护较为复杂 ...
k8s安装Nacos集群
05-21
k8s搭建Nacos集群,制作Nacos镜像 Nacos版本是:2.0.2
KubiScan:一种扫描Kubernetes集群以获取危险权限的工具
02-03
一种在Kubernetes的基于角色的访问控制(RBAC)授权模型中扫描Kubernetes群集以获取危险权限的工具。 该工具已作为“通过消除风险许可保护Kubernetes集群”研究的一部分发布, 。 总览 KubiScan帮助群集管理员确定攻击者可能利用来破坏群集的权限。 这在大型环境中尤其有用,因为在大型环境中,许多权限可能难以跟踪。 KubiScan收集有关危险角色\集群,角色绑定\集群角色绑定,用户和吊舱的信息,自动化传统的手动流程,并为管理员提供降低风险所需的可见性。 它能做什么? 识别危险角色\ ClusterRoles 识别危险的RoleBindings \ ClusterRoleBindings 确定有风险的主题(用户,组和服务帐户) 识别危险的豆荚\容器 从Pod中转储令牌(全部或按名称空间) 获取与角色,ClusterRole或主题(用户,组或服务帐户)关联的RoleBindings \ ClusterRoleBindings 列出特定种类的主题(“用户”,“组”或“ ServiceAccount”) 列出RoleBinding或ClusterR
修复 K8s SSL/TLS 漏洞(CVE-2016-2183)指南
热门推荐
KubeSphere
02-21 1万+
测试服务器配置主机名IPCPU内存系统盘数据盘用途2440200Ansible 运维控制节点41640200+20041640200+20041640200+2002840200+2002840200+2002840200+200harbor2840200Harbor合计822843202800测试环境涉及软件版本信息2.8.203.3.0v1.24.19.5.17.17.52.5.1。
常见端口漏洞
qq_38135115的博客
04-19 6907
常见服务端口 21端口 FTP(file Transfer Protocol)文件传输协议 1.匿名访问——未授权访问 2.弱密码 3.配置不当 直接 cd / && dir 4.FTP使用明文传输技术-嗅探 5.木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。 21端口是默认的FTP端口,利用方式:弱口令探测/溢出 目前我还没看到远程溢出的,SERU的本地溢出漏洞风靡一时,曾经很多服务器就在沦丧于这个
k8s错误问题修复
SHELLCODE_8BIT的博客
01-02 2105
【kubeadm初始化报错】failed to run Kubelet: misconfiguration: kubelet cgroup driver: "cgroupfs" is different from docker cgroup driver: "systemd" - 东北小狐狸 - 博客园 (cnblogs.com) 在Ubuntu 20.04上安装K8S环境 - Fzu_吴鹏辉 - 博客园 (cnblogs.com) [kubelet-check] The HTTP call.
【独家】K8S漏洞报告 | CVE-2019-1002101解读
weixin_44524077的博客
04-17 899
kubectl cp漏洞CVE-2019-1002101分析 Kube-proxy IPVS添加flag ipvs-strict-arp 近期bug fix数据分析 ——本期更新内容 kubectl cp漏洞 近期kubernetes的kubectl cp命令发现安全问题(CVE-2019-1002101),该问题严重程度比较高,建议将kubectl升级到Kubernetes 1.11.9,1.1...
Kubernetes 最小化微服务漏洞 gVisor与Containerd集成
小楼一夜听春雨,深巷明朝卖杏花
07-14 535
已经测试过的应用和工具:https://gvisor.dev/docs/user_guide/compatibility/ 这里可以看到现有的哪些应用可以使用gvisor,因为官方已经给你测试了。除此之外不能够百分之百去使用。除此之外还有哪些工具是可以使用的。 安全沙箱运行容器:gVisor与Containerd集成 由docker切换到containerd容器引擎(安装conatinerd------>kubelet安装containerd----->最后验证) 在切换之..
K8S 生态周报| Docker和containerd 全版本漏洞公布,请及时处理
k8s 生态
03-28 1905
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”CVE-2022-24769近期在 Docker 中发现了一个 影响所有版本的安全漏洞 CVE-2022-24769,该漏洞已经在 Docker 最新的版本 v20.10.14 中修复。这个漏洞主要是由于错误的设置了非空的 Linux 进程的 ...
关于Kubernetes Dashboard漏洞CVE-2018-18264的修复公告
weixin_33806300的博客
01-08 431
阿里云容器服务Kubernetes 已修复Dashboard漏洞CVE-2018-18264,本文介绍该漏洞的影响版本及解决方法。阿里云容器服务Kubernetes内建的Kubernetes Dashboard是托管形态且已进行过安全增强,不受此漏洞影响。 背景信息 Kubernetes社区发现Kubernetes Dashboard安全漏洞CVE-20...
K8S容器入门与Docker技术解析
总结来说,本分享旨在帮助读者理解Docker容器和K8S的基本概念,以及如何利用它们进行应用的部署和管理。通过学习,读者能够具备将应用程序适配到K8S环境的能力,并能有效地监控和运维容器化应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值