一.具体原理
在Kubernetes中,API Server是与集群通信的核心组件之一。默认情况下,Kubernetes API Server会在端口8080上侦听请求,如果Kubernetes API Server在8080端口上启用了未授权访问,那么攻击者可以通过该端口访问API Server并获取敏感信息或执行攻击。这可能会影响任何使用未经身份验证的HTTP协议连接的版本,包括Kubernetes的早期版本和未经修补的漏洞版本。
二.利用条件
- 1) k8s版本小于1.16.0
2) 8080对公网开放
三.漏洞复现
在一般比较新的Kubernetes版本中,8080端口的HTTP服务是默认不启动的,我们可以通过命令“netstat-anpt|grep 8080"命令查看8080端口是否启动,如图1-1通过所示,但如果Kubernetes使用者在/etc/kubernetes/manifests/kube-apiserver.yaml中配置了“- -–insecure-port=8080”及“- -–insecure-bind-address=0.0.0.0”这两个配置项,如图1-2所示,那么攻击者只要网络可达就可以直接对K8S进行未授权攻击。
图1-1 查看8080端口是否启动
图1-2 8080端口错误配置
当我们在etc/kubernetes/manifests/kube-apiserver.yaml中错误配置了之后,我们再访问K8S的8080端口,就可以成功复现出了K8S未授权漏洞,如图1-3所示。
图1-3 API Server 8080端口未授权
四.利用过程
1)我们可以通过在本地或者攻击机上使用Kubectl命令获取相关K8S集群的信息,例如我们通过执行如下命令来获取Nodes节点信息,执行结果如图1-4所示。
kubectl -s http://xxx.xxx.xxx.xxx:8080 get nodes
图1-4 通过Kubectl命令来获取Nodes节点信息
2)同时也可以执行如下命令来直接查看当前K8S集群中所有Pod,执行结果如图1-5所示。
kubectl -s http://xxx.xxx.xxx.xxx:8080 get pods -A
图1-5 通过Kubectl命令来获取Pod信息
五.防御措施
如果您发现Kubernetes API Server的8080端口未授权访问,这可能意味着存在一个安全风险,可能会导致未经授权的用户或攻击者对集群进行操作。解决此问题的一种常见方法是通过以下步骤限制对API Server的访问:
1).使用网络策略:在Kubernetes中,可以使用网络策略(Network Policies)来限制进出集群的流量。通过定义适当的网络策略,可以指定哪些Pod可以访问API Server的8080端口,以及允许访问的源IP范围等。
2). 启用身份验证和授权:确保API Server启用了身份验证和授权功能。Kubernetes提供了多种身份验证和授权机制,例如基于证书的身份验证、RBAC(Role-Based Access Control)等。配置适当的身份验证和授权规则,以确保只有经过身份验证的用户可以访问API Server。
3). 使用TLS加密:启用API Server的TLS加密,以加密传输过程中的数据。使用有效的证书和密钥来保护API Server的通信。
4). 使用网络隔离:确保API Server不直接暴露在公共网络中。可以使用防火墙规则或网络安全组来限制对API Server端口的访问,只允许受信任的IP地址或特定网络访问该端口。
5). 更新默认配置:Kubernetes提供了一些默认配置文件,建议不要直接使用这些默认配置,而是根据安全最佳实践进行自定义配置。检查您的API Server配置文件,确保已经采取了适当的安全措施。
