Kubernetes Kyverno bypass

Tip

Impara & pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Impara & pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Impara & pratica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Sostieni HackTricks

• Controlla i subscription plans!
• Unisciti al 💬 Discord group o al telegram group o seguici su Twitter 🐦 @hacktricks_live.
• Condividi hacking tricks inviando PRs ai HackTricks e HackTricks Cloud github repos.

L’autore originale di questa pagina è Guillaume

Abusare della misconfigurazione delle policy

Enumerare le regole

Avere una panoramica può aiutare a sapere quali regole sono attive, in quale modalità e chi può bypassarle.

$ kubectl get clusterpolicies
$ kubectl get policies

Enumerare Esclusi

Per ogni ClusterPolicy e Policy, puoi specificare un elenco di entità escluse, tra cui:

• Gruppi: excludedGroups
• Utenti: excludedUsers
• Account di Servizio (SA): excludedServiceAccounts
• Ruoli: excludedRoles
• Ruoli di Cluster: excludedClusterRoles

Queste entità escluse saranno esenti dai requisiti della policy, e Kyverno non applicherà la policy per loro.

Esempio

Esploriamo un esempio di clusterpolicy:

$ kubectl get clusterpolicies MYPOLICY -o yaml

Cerca le entità escluse:

exclude:
any:
- clusterRoles:
- cluster-admin
- subjects:
- kind: User
name: system:serviceaccount:DUMMYNAMESPACE:admin
- kind: User
name: system:serviceaccount:TEST:thisisatest
- kind: User
name: system:serviceaccount:AHAH:*

All’interno di un cluster, numerosi componenti, operatori e applicazioni aggiunti possono richiedere l’esclusione da una policy del cluster. Tuttavia, questo può essere sfruttato prendendo di mira entità privilegiate. In alcuni casi, potrebbe sembrare che uno spazio dei nomi non esista o che tu non abbia il permesso di impersonare un utente, il che può essere un segno di misconfigurazione.

Abusare di ValidatingWebhookConfiguration

Un altro modo per bypassare le policy è concentrarsi sulla risorsa ValidatingWebhookConfiguration:

Kubernetes ValidatingWebhookConfiguration

Maggiori informazioni

Per ulteriori informazioni, controlla https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-22/securing-kubernetes-clusters-using-kyverno-policy-engine/welcome/

Tip

Impara & pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Impara & pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Impara & pratica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Sostieni HackTricks

• Controlla i subscription plans!
• Unisciti al 💬 Discord group o al telegram group o seguici su Twitter 🐦 @hacktricks_live.
• Condividi hacking tricks inviando PRs ai HackTricks e HackTricks Cloud github repos.