Notice: file_put_contents(): Write of 9087 bytes failed with errno=28 No space left on device in /var/www/tgoop/post.php on line 50

Warning: file_put_contents(): Only 8192 of 17279 bytes written, possibly out of free disk space in /var/www/tgoop/post.php on line 50
Security Wine (бывший - DevSecOps Wine)@sec_devops P.397
SEC_DEVOPS Telegram 397
tgoop.com » United States » Security Wine (бывший - DevSecOps Wine) » Telegram web » Post 397
Security Wine (бывший - DevSecOps Wine)
Kubernetes RBAC Security Pitfalls

Наличие настроенного RBAC в k8s далеко не всегда означает должный уровень безопасности. Нельзя забывать, что и при настройки RBAC могут совершаться ошибки, которые приведут к повышению привилегий злоумышленником. Так, например, до 2019 года можно было стать администратором кластера получив доступ к токену сервис-аккаунта clusterrole-aggregation-controller. Однако права sa были изменены с '*' на 'escalate'. Тем не менее, нам ничего не мешает сделать kubectl edit clusterrole system:controller:clusterrole-aggregation-controller и изменить apiGroups, resources и verbs на '*'.

Хороший и одновременно короткий пост про другие ошибки RBAC можно прочитать здесь:
- Kubernetes RBAC Security Pitfalls

Также можно прочитать про использование глагола LIST, который позволяет раскрыть секреты k8s:
- When LIST is a Lie in Kubernetes

Статья про аудит RBAC:
- Tools and Methods for Auditing Kubernetes RBAC Policies

#k8s #ops #attack
GitHub
Use the escalate verb for clusterroleaggregator rather than cluster-a… · kubernetes/kubernetes@8b155e8
…dmin permissions
www.tgoop.com/sec_devops/397
2.18K viewsDenis Yakimov



tgoop.com/sec_devops/397
Create:
Last Update:

Kubernetes RBAC Security Pitfalls

Наличие настроенного RBAC в k8s далеко не всегда означает должный уровень безопасности. Нельзя забывать, что и при настройки RBAC могут совершаться ошибки, которые приведут к повышению привилегий злоумышленником. Так, например, до 2019 года можно было стать администратором кластера получив доступ к токену сервис-аккаунта clusterrole-aggregation-controller. Однако права sa были изменены с '*' на 'escalate'. Тем не менее, нам ничего не мешает сделать kubectl edit clusterrole system:controller:clusterrole-aggregation-controller и изменить apiGroups, resources и verbs на '*'.

Хороший и одновременно короткий пост про другие ошибки RBAC можно прочитать здесь:
- Kubernetes RBAC Security Pitfalls

Также можно прочитать про использование глагола LIST, который позволяет раскрыть секреты k8s:
- When LIST is a Lie in Kubernetes

Статья про аудит RBAC:
- Tools and Methods for Auditing Kubernetes RBAC Policies

#k8s #ops #attack

BY Security Wine (бывший - DevSecOps Wine)


Share with your friend now:
tgoop.com/sec_devops/397

View MORE
Open in Telegram


Telegram News

Date: |

How to Create a Private or Public Channel on Telegram? How to Create a Private or Public Channel on Telegram? There have been several contributions to the group with members posting voice notes of screaming, yelling, groaning, and wailing in different rhythms and pitches. Calling out the “degenerate” community or the crypto obsessives that engage in high-risk trading, Co-founder of NFT renting protocol Rentable World emiliano.eth shared this group on his Twitter. He wrote: “hey degen, are you stressed? Just let it out all out. Voice only tg channel for screaming”. Telegram iOS app: In the “Chats” tab, click the new message icon in the right upper corner. Select “New Channel.” A Hong Kong protester with a petrol bomb. File photo: Dylan Hollingsworth/HKFP.
from us


Kubernetes RBAC Security Pitfalls

 Security Wine (бывший - DevSecOps Wine) TG
web: 397
Security Wine (бывший - DevSecOps Wine).Telegram web
Security Wine (бывший - DevSecOps Wine) Telegram TG Channel
Telegram Updated:
Telegram Security Wine (бывший - DevSecOps Wine)
FROM American