2025年kubernetes RBAC安全风险研究报告-Nsfocus

安全风险研究绿盟科技/梅花K战队王伟目录安全防御策略主动防御实战研究安全防御策略主动防御基础概念kubernetes授权认证流程(认证)·开始请求：用户或应用服务对APIServer发起任意操作(认证)(授权)Webhook(授权)Webhook(准入控制)(准入控制)nodesservicesendpoinssecretspods·数据写入：最终资源写入etcdnodesservicesendpoinssecretspods使用X.509客户端证书进行身份验证。用户需要拥有有效的证书，并问。集成外部身份提供商进行身份验证。用户通过身份提供商进行身份验证，然后获得一个JWT的认证token,K8s集群会验证该JWT。不正确的证书配置SAKubernetes为每个Pod自动创建ServiceAccount,并为其分配一个不安全的权限配置Token滥用(过期问题)定义作用范围定义命名空间内的资源操作权限具体命名空间，无法跨空间e定义集群级资源(node,磁盘等资源)或者跨命名空间的聚合权限集群资源g将Role绑定到某个具体的主体命名空间将ClusterRole绑定到具体的主体中集群资源配置风险：默认服务账户type:kubernetes.io/service-acc在Kubernetes中，每个命名空间都有如果未明确禁用或替换，新创建的Pod默认会使用这个ServiceAccount。如果这个defaultServiceAccount被绑定了高权限，那么任何在该命名空间中运行的Pod都可以继承这些高权限，即使它们不需要。配置风险：权限过度授予ClusterRole中使用verbs:["*]和resources:["**]:这种配置赋予了用户或服务账户cluster-admin级别的权限，可以对集群中的所有资源执行任何操作。即使是在Role中对特定命名空间赋予["*"1]权限，也相当于该命名空间的管理员，可能导致横向渗透。配置风险：身份冒用-impersonate权限在容器中获取当前容器的SA配置信息确定是否具备可以利用的可能发现当使用伪造的身份查看权限的时候是全量的资源对象的*权限代表可以通过伪造集群管理员的身份来进行集群管理配置风险：pods资源组配置错误攻击者通过kubectlauthcan-i--list查看当前容器的SA账户对应的rbac权限，发现可以对apigroups的pods组资源进行create的操作，这就可以通过该SA进行特权容器的创建从[/version]攻击者获取容器访问核心风险：·RBAC权限本身无法阻止特权容器创建·需依赖Webhook服务进行准入控制·failurePolicy配置不当导致安全防线失效name:pod-security-webhurl:""https://webhook-service.xxx.xxx/vafailurePolicy:Ignore放行成功创建特权容器容器逃逸/权限提升容器中的SA权限针对secrets的信息获取权限配置错误导致安全风险配置风险：ServiceAccount过度授权利用攻击者根据收集到的信息，进行相关资源的操作，本案例中secrets直接被读取获取敏感信息V1","kind":"Secret","metadata":["annotations":},"name":"database-credentials","namespa攻击者通过在容器中使用kubectlauthcan-i--list查看当前容器的SA的权限，收集本容器的SA账户权限进行下一步攻击实战研究场景研究影响：攻击的最终目标，影响：攻击的最终目标，包括数据泄露、服务中断、集群接管等。极寻找可利用的RBAC权限，这是权限提升的关键一步。权限提升：利用各种漏权限提升：利用各种漏洞和配置缺陷，获取更高的权限，例如绑定高权限角色、模拟节点等。常是利用应用程序漏洞、配置错误等方式攻陷了集群中横向移动：在集群内部扩散，访问其他资源和服的某个横向移动：在集群内部扩散，访问其他资源和服RBAC权限利用：攻击者利用发现到提升权限或横向移动的目的。错误配置示例：用户通过CAS登录使用Token访问K8sAPIToken泄露途径浏览器历史记录日志文件中明文记录网络抓包获取攻击者冒用身份执行未授权操作风险点：·CAS用户组直接映射为K8s高权限角色·缺乏细粒度的权限控制(由集群可能会被完全攻陷·四层架构：接入层→应用层→业务层→业务层用户的请求首先经过APIGateway,然后到达Web应用。当用户登录业务层级存读写级存读写微服务攻击链web应用容器：仅能查看Pod和Service信息。认证服务：可以读取所有Secrets,方便用于用户身份认证，未做到权限最小化原则，服务sa的token可能具备查看所有-订单服务：方便调试订单，开发人员可能过度授予权限。·伪造管理员TokenNexus集成架构与风险点Python等各种制品代理缓存：缓存外部仓库(如DockerHub、存储在PV持久卷存储在PV持久卷攻击初始：Nexus未授权访问安全问题：代码+密码凭据泄露三条攻击路径：1.K8s配置文件→直连集群2.令牌复用→Harbor→K8s防护关键：Nexus访问控制+凭据加密击Kubernetes集群Nexus未授权突破集群防御71f1fbba8209a51C5761e83286be10aa1BdE508a5296158Bb6f9eCD961616\”,\"created\";\"2022-02-23709:37:28.8019267Z\","comment\":buildkit.dockerfile.vo,cmd\":{container_con/bin/sh-esed'sesessions*requireds*pam_loqinuid,soesessionoptionalpan_loginuid,so@g'-i/ete/pam.d/sshd#buildkit\"),\"parent\":\"cc3e4fe32af00f73cb29ba9f0f1f93a792a6203299862351b0ae49d65063a8/bin/sh-csed-is/PermitRootLoqinprohibit-password/PermitRootLoginyes/'/etc/ssh/sshd_config#buildkit\",parent\”;\"34aec2703edacc23b13e3521808636e92d“:('container_config\":\"RU“:('container_config\":\"RU/bin/sh-cecho'root:chpasswaebuildkit\",parent\":\"763eaf1f35abaf3d1f5176c5b6f0ca3b32fbd4234fe415a6■■/bin/sh-emkdir/var/runsshd#buildkit\“),\"parent\":\“4aca⁷3037ccde7Be123072619af95a4ef01323b3688d20af1fe127100a6a\"3""v1Compatibility":(Vid\":\"4da3b00ac3aa3deb88ffe0b58e76e98d0b8efa785c88c8806389618a583fc2fa\",\"created\":\"2021-08-31701:21:30.6722293552,\“cmd\":{\"container_config\":\"/bin/sh-c#(nop)CMD"/bin/bashI!“小"),\“parent\“:\"e536501ea332eef595ba4171f4d8ce41440d20d6b039811602fa275e8df5a\“,\'throwaway\":true}"RBAC攻击流程总结AdmissionController利用PSP/PSAServiceAccount利用PSP/PSA防御策略日常防护RBAC防御的第一道防线是日常积极正确的安全运维与开发，从源头降低攻击面。在业务层面，我们必须严格遵循最小权限原则，并定期审查RBAC策略，确保权限配置的合理性。在架构与构建层面，通过将安全策略左移，在代码提交和部署阶段就进行强制检查。利用准入控制器在APIServer层面拦截高风险操作，配合及时更新Kubernetes版本，共同构建起坚实的安全基石业务策略通过启用APIServer审计日志和持续监控集群安全事件，我们可以快速发现RBAC滥用行为，应急人员进行深入的溯源分析，确定攻击的入口机器以及内网横向中涉及到的容器与账户，持续改进防御策略和一些容器的错误配置，从而不断提升集群的整体安全韧性。攻击者K8sAPIServer