حصل مختبر الاختراق على وصول الجذر إلى مجموعة Kubernetes الخاصة بنا في 15 دقيقة. هذا ما استغلوه. سلسلة الهجوم: - تم العثور على لوحة معلومات Kubernetes المكشوفة (سيئنا) - كان لدى لوحة القيادة حساب خدمة للعرض فقط (اعتقدنا أن هذا آمن) - يمكن لحساب الخدمة سرد الأسرار عبر جميع مساحات الأسماء - العثور على بيانات اعتماد AWS في سر - بيانات اعتماد AWS المستخدمة للوصول إلى ملف تعريف مثيل EC2 - كان لملف تعريف المثيل مسؤول Kubernetes كامل عبر IAM - استخدم kubectl لإنشاء جراب متميز - هرب إلى العقدة - الوصول إلى الجذر إلى المجموعة بأكملها ما اعتقدنا أننا فعلناه بشكل صحيح: - كانت لوحة القيادة للقراءة فقط - تم تشفير الأسرار في حالة الراحة - كانت سياسات الشبكة سارية المفعول. - تحديثات أمنية منتظمة ما فاتنا - لا ينبغي الكشف عن لوحة القيادة على الإطلاق - حسابات الخدمة تحتاج إلى مبدأ الامتياز الأقل - يجب ألا تحتوي الأسرار على بيانات اعتماد AWS (استخدم IRSA بدلا من ذلك) - لم يتم تطبيق سياسات أمان Pod - لم يتم تقوية الوصول إلى العقدة استغرق الإصلاح 2 أسابيع: - تمت إزالة لوحة معلومات Kubernetes تماما - تم تنفيذ IRSA لجميع وصول AWS إلى pod - تطبيق معايير أمان PSPs / Pod الصارمة...