江苏龙网

  1. 首页 > 人文 > >

CSDN云上容器 ATT&CK 矩阵详解,阿里云助力企业容器化安全落地( 八 )


7.2 访问Kubelet API
在kubernetes集群中 , 每个Node节点都会启动Kubelet进程 , 用来处理Master节点下发到本节点的任务 , 管理Pod和其中的容器 。 包括10250端口的认证API、10255端口的只读API以及10256端口的健康检查API 。
其中10255端口可以无需授权进行只读访问 , 攻击者可以访问/pods获取到node、pod地址以及pod的挂载情况、环境变量等敏感信息 , 辅助还原业务场景和集群网络拓扑 , 以寻找后续攻击点 。
关于Kubelet API官方并未提供文档 , 更多接口可在Kubelet源码中挖掘 。 一些有用的路径:
http://{node_ip}:10255/podshttp://{node_ip}:10255/spec10250的端口当前版本中默认需要认证 , 但在老版本的K8s集群中或在用户权限(system:anonymous)被错误配置的情况下 , 可以尝试直接通过10250端口下发指令 。
示例:命令下发:
root@myappnew:/# curl --insecure https://192.168.0.237:10250/podsUnauthorized7.3 Cluster 内网扫描
黑客通常会对Node、Pod、Service三个网段进行主机存活探测和端口扫描 , 然后从K8s内置服务、用户应用、第三方K8s插件等角度寻找更多攻击面 , 同时会通过找到Node IP并访问Kubelet API获取pod的详细拓扑信息 。
阿里云容器服务默认CIDR:
CSDN云上容器 ATT&CK 矩阵详解,阿里云助力企业容器化安全落地
本文插图
7.4 访问K8s Dashboard所在的Pod
Kubernetes Dashboard为用户提供WEB界面 , 便于创建、修改和管理Kubernetes资源(如 Deployment , Job , DaemonSet等) 。 Dashboard的部署取决于云厂商和用户自身的配置 , 在官方的部署流程中 , dashboard会创建独立的Namespace、Service、Role以及ServiceAccount 。
示例:阿里云容器服务提供的dashboard:
CSDN云上容器 ATT&CK 矩阵详解,阿里云助力企业容器化安全落地
本文插图
由于K8s pod之间默认允许通信 , 攻击者在进入某个pod之后 , 可以通过信息收集或内网扫描的方式发现K8s dashboard所在service地址 , 并通过kubernetes-dashboard service account进行认证操作 。
7.5 访问私有镜像库
参考1.8和3.4关于私有镜像库的攻击面 , 攻击者可以在K8s secret或本地配置文件中找到私有镜像库的连接方式 , 并在权限允许的情况下劫持私有镜像库中的镜像 , 实现横向移动和持久化 。
7.6 访问云厂商服务接口
(参考6.2云产品AK泄漏)在云原生的容器化应用中 , 服务往往会与多种内外部API进行交互 , 攻击者可以通过收集这些API的登录凭据或测试是否存在未授权访问来进行攻击准备 。
此外 , 在某些云服务商提供的CaaS或Serverless容器中 , 为便于使用者与底层云基础设施进行通信 , 厂商通过植入专用pod或者将API挂载到业务pod的方式提供额外的接口 , 这些接口也会成为攻击者收集信息过程中的突破口 。
7.7 通过NodePort访问Service
K8s service的暴露方式由三种:ClusterIP , NodePort和LoadBalancer 。 其中LoadBalancer多与云厂商的负载均衡类产品集成 , 具有较强的流量审计能力 。
一些业务场景中存在着K8s与VM并存的内网环境 , 当攻击者通过非容器化的弱点进入内网时 , 可以借助NodePort进行横向移动 。 在频繁迭代的业务中 , 使用NodePort的服务相比ClusterIP更加固定 , 可用做控制通道来穿透网络边界管控以及防火墙的限制 。
默认情况下 , K8s集群NodePort分配的端口范围为:30000-32767 。
8. Lateral Movement/横向移动
8.1 窃取凭证攻击云服务
(参考6.2云产品AK泄漏)攻击者利用容器内部文件或K8s secret中窃取到的云服务通信凭证进行横向移动 。


推荐阅读


上一篇:中国科学技术大学永远科大人 | We will see you!

下一篇:小三爷说数码荣耀MagicBook Pro 2020:轻薄高效、全屏实力