Kubernetes Kyverno bypass

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

• Consultez les subscription plans!
• Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.

L’auteur original de cette page est Guillaume

Abuser des erreurs de configuration des politiques

Énumérer les règles

Avoir un aperçu peut aider à savoir quelles règles sont actives, dans quel mode et qui peut les contourner.

$ kubectl get clusterpolicies
$ kubectl get policies

Énumérer les Exclues

Pour chaque ClusterPolicy et Policy, vous pouvez spécifier une liste d’entités exclues, y compris :

• Groupes : excludedGroups
• Utilisateurs : excludedUsers
• Comptes de service (SA) : excludedServiceAccounts
• Rôles : excludedRoles
• Rôles de cluster : excludedClusterRoles

Ces entités exclues seront exemptées des exigences de la politique, et Kyverno n’appliquera pas la politique pour elles.

Exemple

Examinons un exemple de clusterpolicy :

$ kubectl get clusterpolicies MYPOLICY -o yaml

Recherchez les entités exclues :

exclude:
any:
- clusterRoles:
- cluster-admin
- subjects:
- kind: User
name: system:serviceaccount:DUMMYNAMESPACE:admin
- kind: User
name: system:serviceaccount:TEST:thisisatest
- kind: User
name: system:serviceaccount:AHAH:*

Dans un cluster, de nombreux composants, opérateurs et applications ajoutés peuvent nécessiter une exclusion d’une politique de cluster. Cependant, cela peut être exploité en ciblant des entités privilégiées. Dans certains cas, il peut sembler qu’un namespace n’existe pas ou que vous n’ayez pas la permission d’usurper un utilisateur, ce qui peut être un signe de mauvaise configuration.

Abuser de ValidatingWebhookConfiguration

Une autre façon de contourner les politiques est de se concentrer sur la ressource ValidatingWebhookConfiguration :

Kubernetes ValidatingWebhookConfiguration

Plus d’infos

Pour plus d’infos, consultez https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-22/securing-kubernetes-clusters-using-kyverno-policy-engine/welcome/

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

• Consultez les subscription plans!
• Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.