OpenShift - Missing Service Account

Reading time: 1 minute

Missing Service Account

Inatokea kwamba klasta imewekwa kwa kutumia kiolezo kilichopangwa awali kiotomatiki kuweka Roles, RoleBindings na hata SCC kwa akaunti ya huduma ambayo bado haijaundwa. Hii inaweza kusababisha kupanda kwa mamlaka katika kesi ambapo unaweza kuziunda. Katika kesi hii, utaweza kupata token ya SA iliyoundwa upya na jukumu au SCC inayohusiana. Kesi hiyo hiyo inatokea wakati SA inayokosekana ni sehemu ya mradi unaokosekana, katika kesi hii ikiwa unaweza kuunda mradi na kisha SA unapata Roles na SCC zinazohusiana.

Katika grafu ya awali tulipata AbsentProject nyingi zikimaanisha miradi mingi inayojitokeza katika Roles Bindings au SCC lakini bado hazijaundwa katika klasta. Katika mwelekeo huo pia tulipata AbsentServiceAccount.

Ikiwa tunaweza kuunda mradi na SA inayokosekana ndani yake, SA itarithi kutoka kwa Jukumu au SCC ambazo zilikuwa zikilenga AbsentServiceAccount. Hii inaweza kusababisha kupanda kwa mamlaka.

Mfano ufuatao unaonyesha SA inayokosekana ambayo imepewa node-exporter SCC:

Tools

Zana ifuatayo inaweza kutumika kuhesabu tatizo hili na kwa ujumla kuchora klasta ya OpenShift:

GitHub - maxDcb/OpenShiftGrapher: OpenShift Pentesting Tool for enumerating and graphing clusters in Neo4j