Ataque a cluster de Kubernetes
¿Qué es Ataque a cluster de Kubernetes?
Ataque a cluster de KubernetesIntrusion contra un cluster de Kubernetes (K8s) que abusa de APIs expuestas, RBAC debil o cargas vulnerables para hacerse con el control plano o los nodos.
Un ataque a cluster de Kubernetes apunta al kube-apiserver, kubelet, etcd o a las propias cargas para ejecutar codigo, robar secretos o tomar el control. Puntos de entrada habituales incluyen kube-apiserver expuesto sin autenticacion, puertos lectura/escritura del kubelet accesibles, webhooks de admision vulnerables, tokens de service account robados y pods con privilegios excesivos. Desde un punto inicial, los atacantes buscan pod-a-nodo via hostPath o contenedores privilegiados, reutilizan tokens contra la API o abusan de role bindings cluster-admin. Las defensas incluyen RBAC estricto, autenticacion OIDC, network policies, seguridad en runtime (Falco, Tetragon), admission controllers como Kyverno u OPA Gatekeeper, e imagenes minimas firmadas.
● Ejemplos
- 01
Una API de Kubelet expuesta en el puerto 10250 permite exec arbitrario en los pods del nodo.
- 02
Un token de service account filtrado concede listar secretos en todos los namespaces.
● Preguntas frecuentes
¿Qué es Ataque a cluster de Kubernetes?
Intrusion contra un cluster de Kubernetes (K8s) que abusa de APIs expuestas, RBAC debil o cargas vulnerables para hacerse con el control plano o los nodos. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Ataque a cluster de Kubernetes?
Intrusion contra un cluster de Kubernetes (K8s) que abusa de APIs expuestas, RBAC debil o cargas vulnerables para hacerse con el control plano o los nodos.
¿Cómo funciona Ataque a cluster de Kubernetes?
Un ataque a cluster de Kubernetes apunta al kube-apiserver, kubelet, etcd o a las propias cargas para ejecutar codigo, robar secretos o tomar el control. Puntos de entrada habituales incluyen kube-apiserver expuesto sin autenticacion, puertos lectura/escritura del kubelet accesibles, webhooks de admision vulnerables, tokens de service account robados y pods con privilegios excesivos. Desde un punto inicial, los atacantes buscan pod-a-nodo via hostPath o contenedores privilegiados, reutilizan tokens contra la API o abusan de role bindings cluster-admin. Las defensas incluyen RBAC estricto, autenticacion OIDC, network policies, seguridad en runtime (Falco, Tetragon), admission controllers como Kyverno u OPA Gatekeeper, e imagenes minimas firmadas.
¿Cómo defenderse de Ataque a cluster de Kubernetes?
Las defensas contra Ataque a cluster de Kubernetes combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Ataque a cluster de Kubernetes?
Nombres alternativos comunes: Compromiso de cluster K8s, Intrusion en Kubernetes.
● Términos relacionados
- cloud-security№ 211
Container Escape
Exploit que rompe el aislamiento entre un contenedor y su host, permitiendo al atacante ejecutar codigo en el nodo o el kernel subyacente.
- cloud-security№ 505
Escalada de privilegios IAM
Abuso de permisos IAM existentes en la nube para obtener privilegios mas amplios, a menudo editando politicas, asumiendo roles o autoconcediendose permisos administrativos.
- cloud-security№ 190
Robo de tokens en la nube
Robo de tokens OAuth, SAML o de firma desde un servicio de identidad cloud y su reutilizacion para suplantar a usuarios o servicios sin necesidad de contrasenas.
- cloud-security№ 183
Exfiltracion de datos en la nube
Copia o transferencia no autorizada de datos fuera de una cuenta cloud, habitualmente mediante APIs de almacenamiento, snapshots, replicacion o cuentas controladas por el atacante.
- cloud-security№ 255
Hallazgo CSPM
Alerta generada por una herramienta de Cloud Security Posture Management cuando un recurso cloud incumple un benchmark, politica o regla de cumplimiento.