Ataque a cluster Kubernetes
O que é Ataque a cluster Kubernetes?
Ataque a cluster KubernetesIntrusao contra um cluster Kubernetes (K8s) que abusa de APIs expostas, RBAC fraco ou cargas vulneraveis para controlar o plano de controlo ou os nos de trabalho.
Um ataque a cluster Kubernetes tem como alvo o kube-apiserver, kubelet, etcd ou as proprias cargas para executar codigo, roubar segredos ou tomar o controlo do cluster. Pontos de entrada comuns incluem kube-apiserver exposto sem autenticacao, portas de leitura/escrita do kubelet acessiveis, webhooks de admissao vulneraveis, tokens de service account roubados e pods com privilegios excessivos. A partir de um acesso inicial, os atacantes procuram caminhos como pod-para-no via hostPath ou contentores privilegiados, repeticao de tokens contra a API ou abuso de role bindings cluster-admin. As defesas incluem RBAC rigoroso, autenticacao OIDC, network policies, seguranca em runtime (Falco, Tetragon), admission controllers como Kyverno ou OPA Gatekeeper e imagens minimas assinadas.
● Exemplos
- 01
Uma API Kubelet exposta na porta 10250 permite exec arbitrario nos pods do no.
- 02
Um token de service account fugado permite listar segredos em todos os namespaces.
● Perguntas frequentes
O que é Ataque a cluster Kubernetes?
Intrusao contra um cluster Kubernetes (K8s) que abusa de APIs expostas, RBAC fraco ou cargas vulneraveis para controlar o plano de controlo ou os nos de trabalho. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Ataque a cluster Kubernetes?
Intrusao contra um cluster Kubernetes (K8s) que abusa de APIs expostas, RBAC fraco ou cargas vulneraveis para controlar o plano de controlo ou os nos de trabalho.
Como funciona Ataque a cluster Kubernetes?
Um ataque a cluster Kubernetes tem como alvo o kube-apiserver, kubelet, etcd ou as proprias cargas para executar codigo, roubar segredos ou tomar o controlo do cluster. Pontos de entrada comuns incluem kube-apiserver exposto sem autenticacao, portas de leitura/escrita do kubelet acessiveis, webhooks de admissao vulneraveis, tokens de service account roubados e pods com privilegios excessivos. A partir de um acesso inicial, os atacantes procuram caminhos como pod-para-no via hostPath ou contentores privilegiados, repeticao de tokens contra a API ou abuso de role bindings cluster-admin. As defesas incluem RBAC rigoroso, autenticacao OIDC, network policies, seguranca em runtime (Falco, Tetragon), admission controllers como Kyverno ou OPA Gatekeeper e imagens minimas assinadas.
Como se defender contra Ataque a cluster Kubernetes?
As defesas contra Ataque a cluster Kubernetes costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Ataque a cluster Kubernetes?
Nomes alternativos comuns: Comprometimento de cluster K8s, Intrusao Kubernetes.
● Termos relacionados
- cloud-security№ 211
Container Escape
Exploracao que quebra o isolamento entre um contentor e o seu host, permitindo ao atacante executar codigo no no subjacente ou no kernel.
- cloud-security№ 505
Escalonamento de privilegios IAM
Abuso de permissoes IAM existentes na nuvem para obter privilegios superiores, normalmente por edicao de politica, assuncao de papel ou auto-concessao de direitos administrativos.
- cloud-security№ 190
Roubo de tokens na nuvem
Roubo de tokens OAuth, SAML ou de assinatura a um servico de identidade cloud e respetiva repeticao para se fazer passar por utilizadores ou servicos sem senhas.
- cloud-security№ 183
Exfiltracao de dados na nuvem
Copia ou transferencia nao autorizada de dados para fora de uma conta cloud, normalmente via APIs de armazenamento, snapshots, replicacao ou contas controladas pelo atacante.
- cloud-security№ 255
Finding CSPM
Alerta produzido por uma ferramenta de Cloud Security Posture Management quando um recurso na nuvem viola um benchmark, politica ou regra de conformidade.