Kubernetes Namespace Escalation

Reading time: 3 minutes

In Kubernetes ist es ziemlich häufig, dass man irgendwie in einen Namespace gelangt (indem man Benutzeranmeldeinformationen stiehlt oder einen Pod kompromittiert). In der Regel wird man jedoch daran interessiert sein, in einen anderen Namespace zu eskalieren, da dort interessantere Dinge zu finden sind.

Hier sind einige Techniken, die Sie ausprobieren können, um in einen anderen Namespace zu entkommen:

Missbrauch von K8s-Rechten

Offensichtlich, wenn das Konto, das Sie gestohlen haben, sensible Berechtigungen über den Namespace hat, in den Sie eskalieren möchten, können Sie Aktionen wie das Erstellen von Pods mit Dienstkonten im NS, das Ausführen einer Shell in einem bereits vorhandenen Pod innerhalb des NS oder das Lesen der Secret SA-Token missbrauchen.

Für weitere Informationen darüber, welche Berechtigungen Sie missbrauchen können, lesen Sie:

Abusing Roles/ClusterRoles in Kubernetes

Entkommen zum Knoten

Wenn Sie zum Knoten entkommen können, entweder weil Sie einen Pod kompromittiert haben und entkommen können oder weil Sie einen privilegierten Pod erstellen und entkommen können, könnten Sie mehrere Dinge tun, um andere SA-Token zu stehlen:

• Überprüfen Sie auf SA-Token, die in anderen Docker-Containern laufen, die auf dem Knoten ausgeführt werden
• Überprüfen Sie auf neue kubeconfig-Dateien im Knoten mit zusätzlichen Berechtigungen, die dem Knoten gegeben wurden
• Wenn aktiviert (oder aktivieren Sie es selbst), versuchen Sie, gespiegelte Pods anderer Namespaces zu erstellen, da Sie möglicherweise Zugriff auf die Standard-Token-Konten dieser Namespaces erhalten (ich habe dies noch nicht getestet)

All diese Techniken sind in folgendem Dokument erklärt:

Attacking Kubernetes from inside a Pod