Kubernetes Namespace Escalation

Reading time: 3 minutes

Katika Kubernetes ni kawaida kwamba kwa namna fulani unafanikiwa kuingia ndani ya namespace (kwa kuiba baadhi ya akidi za mtumiaji au kwa kuathiri pod). Hata hivyo, kwa kawaida utakuwa na hamu ya kuinua hadhi hadi namespace tofauti kwani vitu vya kuvutia zaidi vinaweza kupatikana huko.

Hapa kuna baadhi ya mbinu unazoweza kujaribu kutoroka hadi namespace tofauti:

Abuse K8s privileges

Kwa wazi ikiwa akaunti uliyoiiba ina mamlaka nyeti juu ya namespace unayoweza kuinuka, unaweza kutumia vitendo kama kuunda pods na akaunti za huduma katika NS, kutekeleza shell katika pod iliyopo ndani ya ns, au kusoma siri SA tokens.

Kwa maelezo zaidi kuhusu mamlaka gani unaweza kutumia soma:

Abusing Roles/ClusterRoles in Kubernetes

Escape to the node

Ikiwa unaweza kutoroka hadi node ama kwa sababu umeathiri pod na unaweza kutoroka au kwa sababu unaweza kuunda pod yenye mamlaka na kutoroka unaweza kufanya mambo kadhaa ili kuiba tokens za SAs nyingine:

• Angalia tokens za SAs zilizowekwa katika kontena nyingine za docker zinazokimbia katika node
• Angalia faili mpya za kubeconfig katika node zikiwa na ruhusa za ziada zilizotolewa kwa node
• Ikiwa imewezeshwa (au iwezeshe mwenyewe) jaribu kuunda pods zilizokaribishwa za namespaces nyingine kwani unaweza kupata ufikiaji wa akaunti za token za namespace hizo (sijajaribu hii bado)

Mbinu hizi zote zinaelezewa katika:

Attacking Kubernetes from inside a Pod