kubelet API未授权访问漏洞：成因、危害、排查、整改

kubelet作为Kubernetes（简称K8s）集群节点核心组件，负责容器生命周期管理、资源调度等关键功能，其API接口若配置不当，易引发未授权访问漏洞，成为攻击者突破集群防线的高频入口。本文聚焦该漏洞的成因、危害、排查方法及整改措施，为企业规避安全风险、保障集群稳定提供实操指引。

一、漏洞成因：核心风险配置

该漏洞并非kubelet自身代码缺陷，核心成因是管理员部署、运维时，优先追求效率而忽视安全配置，常见风险场景有4类：

1.1 关闭认证授权机制

部分管理员为简化操作，给kubelet添加“--anonymous-auth=true”（允许匿名访问）和“--authorization-mode=AlwaysAllow”（允许所有请求通过）参数，导致攻击者无需任何凭证即可访问API接口，是最主要的风险诱因。

1.2 端口暴露且无访问控制

将kubelet核心API端口（尤其是承担高危操作的10250端口）配置为监听所有网络接口，暴露至外网，且未通过防火墙、安全组限制访问IP，攻击者可通过端口扫描轻松发现并尝试访问。

1.3 认证配置错误或凭证泄露

客户端证书过期、权限配置异常，或高权限Token明文存储、泄露；第三方运维、监控工具被分配过高权限，且凭证未定期轮换，均会导致认证机制失效，形成“伪未授权”访问风险。

1.4 复用弱安全配置模板

直接复用测试环境配置或网上公开的弱安全模板，此类模板默认关闭认证授权，未经过安全检查即部署至生产环境，直接引入漏洞隐患。

二、漏洞危害：被利用后的核心风险

漏洞被未授权攻击者利用后，会实现从节点到集群的多维度渗透，核心危害体现在4方面：

1. 窃取敏感信息：可查询节点、Pod、容器的全部配置，获取环境变量中存储的数据库密码、API密钥、Token等核心敏感数据，为进一步渗透提供条件；

2. 操控集群资源：删除正常运行的Pod、容器，导致核心业务中断；创建恶意Pod占用节点全部CPU、内存资源，或重启节点、kubelet进程，破坏集群稳定运行；

3. 植入恶意程序：通过API接口向容器内执行命令，植入木马、挖矿程序等恶意软件；若容器为特权模式，可突破隔离获取节点root权限，实现持久化控制；

4. 接管整个集群：若攻击目标为控制平面节点，或通过泄露凭证获取管理员权限，可进一步接管K8s集群，掌控所有节点、Pod及业务系统，造成毁灭性损失。

三、漏洞排查：快速有效排查方法

结合集群规模，可通过手动排查和工具排查两种方式，快速发现漏洞隐患，做到早发现、早处置：

3.1 手动排查（适用于小规模集群）

1. 查看kubelet启动参数：登录集群各节点，执行命令“ps -ef | grep kubelet”，排查是否存在“--anonymous-auth=true”“--authorization-mode=AlwaysAllow”等风险参数；

2. 验证API访问权限：执行命令“curl -k https://[节点IP]:10250/pods”，若无需提供任何凭证即可返回Pod列表，说明漏洞已存在。

3.2 工具排查（适用于大规模集群）

1. 端口扫描：使用Nmap、Masscan等工具，扫描集群节点的10250、10255端口，排查端口是否暴露外网、是否可正常访问；

2. 配置检测：借助kube-bench、Trivy等K8s安全检测工具，自动扫描kubelet配置，生成漏洞报告，明确隐患位置及风险等级；

3. 可利用性验证：使用Metasploit等渗透测试工具，通过相关模块模拟攻击，验证漏洞是否可被实际利用。

四、漏洞整改：核心防御与修复措施

针对漏洞成因，聚焦“规范配置、强化管控”，采取以下5项核心整改措施，从源头规避风险，实现标本兼治：

1. 规范认证授权配置：立即删除“--anonymous-auth=true”“--authorization-mode=AlwaysAllow”等风险参数；启用Webhook授权模式，与集群API Server联动，实行RBAC最小权限分配；配置合法客户端证书或Token，定期轮换凭证，杜绝凭证泄露风险。

2. 限制API端口访问范围：禁止kubelet 10250、10255端口暴露外网，配置kubelet仅监听集群内网IP；通过防火墙、安全组设置访问白名单，仅允许集群控制平面IP、指定运维终端IP访问，阻断外部非法访问路径。

3. 清理整改风险配置：全面排查所有节点的kubelet配置，清理明文存储的凭证信息，更换过期、权限异常的客户端证书；规范第三方工具权限分配，仅授予必要权限并定期轮换凭证。

4. 规范集群部署流程：禁止直接复用测试环境配置和网上弱安全模板，部署前对配置文件进行安全检查，确保所有安全配置项符合企业安全规范；建立配置审核机制，避免违规配置引入漏洞。

5. 建立长效安全管控：部署Prometheus、Grafana等监控工具，实时监控kubelet API访问情况，设置异常访问告警规则；开启日志审计功能，记录API访问详情，便于安全溯源；加强运维人员安全培训，定期开展安全巡检，及时排查新增隐患。