OpenShift - Nedostajući servisni nalog

Reading time: 1 minute

Nedostajući servisni nalog

Dešava se da je klaster postavljen sa unapred konfigurisanom šablonom koja automatski postavlja Uloge, RoleBindings i čak SCC na servisni nalog koji još nije kreiran. To može dovesti do eskalacije privilegija u slučaju da ih možete kreirati. U tom slučaju, mogli biste dobiti token novokreiranog SA i ulogu ili SCC koji su povezani. Ista situacija se dešava kada je nedostajući SA deo nedostajućeg projekta, u tom slučaju, ako možete kreirati projekat, a zatim i SA, dobijate Uloge i SCC povezane.

Na prethodnom grafikonu imamo više AbsentProject, što znači više projekata koji se pojavljuju u Role Bindings ili SCC, ali još nisu kreirani u klasteru. U istom smislu imamo i AbsentServiceAccount.

Ako možemo kreirati projekat i nedostajući SA u njemu, SA će naslediti Ulogu ili SCC koji su ciljali na AbsentServiceAccount. Što može dovesti do eskalacije privilegija.

Sledeći primer prikazuje nedostajući SA kojem je dodeljen node-exporter SCC:

Alati

Sledeći alat može se koristiti za enumeraciju ovog problema i općenitije za grafičko prikazivanje OpenShift klastera:

GitHub - maxDcb/OpenShiftGrapher: OpenShift Pentesting Tool for enumerating and graphing clusters in Neo4j