Kubernetes-Cluster-Angriff
Was ist Kubernetes-Cluster-Angriff?
Kubernetes-Cluster-AngriffEingriff in einen Kubernetes (K8s)-Cluster, der freigelegte APIs, schwaches RBAC oder verwundbare Workloads ausnutzt, um Kontrolle ueber Control Plane oder Worker Nodes zu erlangen.
Ein Kubernetes-Cluster-Angriff zielt auf den kube-apiserver, das kubelet, etcd oder die Workloads selbst, um Codeausfuehrung zu erreichen, Secrets zu stehlen oder den Cluster zu uebernehmen. Haeufige Einstiegspunkte sind ein unauthentifiziert exponierter kube-apiserver, lesbar/schreibbare kubelet-Ports, verwundbare Admission-Webhooks, gestohlene Service-Account-Tokens und ueberprivilegierte Pods. Vom initialen Zugriff aus suchen Angreifer Pfade wie Pod-zu-Node ueber hostPath oder privilegierte Container, Token-Replay gegen die API oder Missbrauch von cluster-admin-Rollen. Verteidigung umfasst strikte RBAC, OIDC-Authentifizierung, Network Policies, Runtime-Security (Falco, Tetragon), Admission Controller wie Kyverno oder OPA Gatekeeper und signierte, minimale Container-Images.
● Beispiele
- 01
Eine offene Kubelet-API auf Port 10250 erlaubt beliebiges exec in Pods des Knotens.
- 02
Ein geleakter Service-Account-Token erlaubt das Auflisten von Secrets in allen Namespaces.
● Häufige Fragen
Was ist Kubernetes-Cluster-Angriff?
Eingriff in einen Kubernetes (K8s)-Cluster, der freigelegte APIs, schwaches RBAC oder verwundbare Workloads ausnutzt, um Kontrolle ueber Control Plane oder Worker Nodes zu erlangen. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Kubernetes-Cluster-Angriff?
Eingriff in einen Kubernetes (K8s)-Cluster, der freigelegte APIs, schwaches RBAC oder verwundbare Workloads ausnutzt, um Kontrolle ueber Control Plane oder Worker Nodes zu erlangen.
Wie funktioniert Kubernetes-Cluster-Angriff?
Ein Kubernetes-Cluster-Angriff zielt auf den kube-apiserver, das kubelet, etcd oder die Workloads selbst, um Codeausfuehrung zu erreichen, Secrets zu stehlen oder den Cluster zu uebernehmen. Haeufige Einstiegspunkte sind ein unauthentifiziert exponierter kube-apiserver, lesbar/schreibbare kubelet-Ports, verwundbare Admission-Webhooks, gestohlene Service-Account-Tokens und ueberprivilegierte Pods. Vom initialen Zugriff aus suchen Angreifer Pfade wie Pod-zu-Node ueber hostPath oder privilegierte Container, Token-Replay gegen die API oder Missbrauch von cluster-admin-Rollen. Verteidigung umfasst strikte RBAC, OIDC-Authentifizierung, Network Policies, Runtime-Security (Falco, Tetragon), Admission Controller wie Kyverno oder OPA Gatekeeper und signierte, minimale Container-Images.
Wie schützt man sich gegen Kubernetes-Cluster-Angriff?
Schutzmaßnahmen gegen Kubernetes-Cluster-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Kubernetes-Cluster-Angriff?
Übliche alternative Bezeichnungen: K8s-Cluster-Kompromittierung, Kubernetes-Intrusion.
● Verwandte Begriffe
- cloud-security№ 211
Container Escape
Ein Exploit, der die Isolation zwischen einem Container und seinem Host durchbricht und dem Angreifer Codeausfuehrung auf dem darunterliegenden Knoten oder Kernel ermoeglicht.
- cloud-security№ 505
IAM-Privilege-Escalation
Missbrauch bestehender Cloud-IAM-Berechtigungen, um hoehere Rechte zu erlangen, oft durch Policy-Bearbeitung, Rollenuebernahme oder Selbsterteilung administrativer Rechte.
- cloud-security№ 190
Cloud-Token-Diebstahl
Diebstahl von OAuth-, SAML- oder Signatur-Tokens aus einem Cloud-Identitaetsdienst und deren Replay, um Benutzer oder Services ohne Passwoerter zu imitieren.
- cloud-security№ 183
Cloud-Datenexfiltration
Unbefugtes Kopieren oder Verlagern von Daten aus einem Cloud-Konto heraus, oft ueber Object-Storage-APIs, Snapshots, Replikation oder angreifer-eigene Konten.
- cloud-security№ 255
CSPM-Finding
Alarm eines Cloud-Security-Posture-Management-Tools, wenn eine Cloud-Ressource gegen einen Security-Benchmark, eine Policy oder eine Compliance-Regel verstoesst.
● Siehe auch
- № 182Cloud-Cryptojacking