Telegram Group & Telegram Channel
Telegram Group » Brazil » Codeby » Telegram Webview » Post 9014
Codeby
KubeHound: как найти уязвимости в Kubernetes до того, как это сделают злоумышленники

Kubernetes сложен и подвержен ошибкам конфигурации, что приводит к инцидентам безопасности (67% компаний, по данным Red Hat).
KubeHound от DataDog помогает выявлять эти проблемы, моделируя поведение злоумышленника и показывая пути компрометации кластера, в отличие от обычных сканеров уязвимостей.

⁉️ Принцип работы KubeHound
KubeHound анализирует Kubernetes-кластер в три этапа:
1️⃣ Собирает данные о ролях, привязках, сервисных аккаунтах, настройках Pod, сетевых политиках и доступе к API.
2️⃣ Строит граф атак, определяя цепочки эксплуатации (например, через сервисный аккаунт к привилегированному Pod и доступу к ноде), показывая не только отдельные уязвимости, но и их комбинации.
3️⃣ Формирует отчет, выделяя критические риски с рекомендациями по исправлению.

⁉️ Уязвимости, которые находит KubeHound
1️⃣ Избыточные права сервисных аккаунтов
Часто в dev`-неймспейсах остаются сервисные аккаунты CI/CD с правами `cluster-admin. Злоумышленник может использовать их для развертывания вредоносных Pod или кражи данных.

2️⃣ Привилегированные Pod
Контейнеры с privileged: true или доступом к hostPID`/`hostNetwork позволяют атакующему выйти на ноду.

3️⃣ Опасные RBAC-правила
Пользователь с правами get pods + create pods + exec может создать Pod с serviceAccount: default и получить доступ к другим контейнерам.

🔝Топ-3 сценария, которые KubeHound находит лучше всех:
1️⃣ «Забытые ключи от королевства» (сервисные аккаунты с admin-правами)
- В dev`-неймспейсе остался сервисный аккаунт CI/CD, который умеет создавать Pods в `kube-system
- Его добавили для деплоя, но не удалили.
KubeHound покажет: «Через этот аккаунт можно развернуть вредоносный Pod с `privileged: true`».

2️⃣ «Троянский конь» (Pod с доступом к ноде)
Пример уязвимости: 
spec:
  containers:
  - name: innocent-app
    securityContext:
      privileged: true  # ← Вот это большая ошибка

Что может сделать злоумышленник?
- Запустить Docker-in-Docker и сбежать на хост.
- Украсть токены других подов через /var/run/secrets.

3️⃣ «Легальный хакер» (эскалация через RBAC)
Пользователь имеет права:
🔵get pods
🔵create pods
🔵exec
KubeHound предупредит: «Он может создать Pod с serviceAccount: default и получить шелл в любом контейнере»
Please open Telegram to view this post
VIEW IN TELEGRAM
www.tg-me.com/br/Codeby Pentest/com.codeby_sec/9014
3.6K views



tg-me.com/codeby_sec/9014
Create:
Last Update:

KubeHound: как найти уязвимости в Kubernetes до того, как это сделают злоумышленники

Kubernetes сложен и подвержен ошибкам конфигурации, что приводит к инцидентам безопасности (67% компаний, по данным Red Hat).
KubeHound от DataDog помогает выявлять эти проблемы, моделируя поведение злоумышленника и показывая пути компрометации кластера, в отличие от обычных сканеров уязвимостей.

⁉️ Принцип работы KubeHound
KubeHound анализирует Kubernetes-кластер в три этапа:
1️⃣ Собирает данные о ролях, привязках, сервисных аккаунтах, настройках Pod, сетевых политиках и доступе к API.
2️⃣ Строит граф атак, определяя цепочки эксплуатации (например, через сервисный аккаунт к привилегированному Pod и доступу к ноде), показывая не только отдельные уязвимости, но и их комбинации.
3️⃣ Формирует отчет, выделяя критические риски с рекомендациями по исправлению.

⁉️ Уязвимости, которые находит KubeHound
1️⃣ Избыточные права сервисных аккаунтов
Часто в dev`-неймспейсах остаются сервисные аккаунты CI/CD с правами `cluster-admin. Злоумышленник может использовать их для развертывания вредоносных Pod или кражи данных.

2️⃣ Привилегированные Pod
Контейнеры с privileged: true или доступом к hostPID`/`hostNetwork позволяют атакующему выйти на ноду.

3️⃣ Опасные RBAC-правила
Пользователь с правами get pods + create pods + exec может создать Pod с serviceAccount: default и получить доступ к другим контейнерам.

🔝Топ-3 сценария, которые KubeHound находит лучше всех:
1️⃣ «Забытые ключи от королевства» (сервисные аккаунты с admin-правами)
- В dev`-неймспейсе остался сервисный аккаунт CI/CD, который умеет создавать Pods в `kube-system
- Его добавили для деплоя, но не удалили.
KubeHound покажет: «Через этот аккаунт можно развернуть вредоносный Pod с `privileged: true`».

2️⃣ «Троянский конь» (Pod с доступом к ноде)
Пример уязвимости: 

spec:
  containers:
  - name: innocent-app
    securityContext:
      privileged: true  # ← Вот это большая ошибка

Что может сделать злоумышленник?
- Запустить Docker-in-Docker и сбежать на хост.
- Украсть токены других подов через /var/run/secrets.

3️⃣ «Легальный хакер» (эскалация через RBAC)
Пользователь имеет права:
🔵get pods
🔵create pods
🔵exec
KubeHound предупредит: «Он может создать Pod с serviceAccount: default и получить шелл в любом контейнере»

BY Codeby




Share with your friend now:
tg-me.com/codeby_sec/9014

View MORE
Open in Telegram


Codeby Pentest Telegram | DID YOU KNOW?

Date: |

What is Secret Chats of Telegram

Secret Chats are one of the service’s additional security features; it allows messages to be sent with client-to-client encryption. This setup means that, unlike regular messages, these secret messages can only be accessed from the device’s that initiated and accepted the chat. Additionally, Telegram notes that secret chats leave no trace on the company’s services and offer a self-destruct timer.

The Singapore stock market has alternated between positive and negative finishes through the last five trading days since the end of the two-day winning streak in which it had added more than a dozen points or 0.4 percent. The Straits Times Index now sits just above the 3,060-point plateau and it's likely to see a narrow trading range on Monday.

Codeby Pentest from br


❓ KubeHound: как найти уязвимости в Kubernetes до того

 Codeby TG
Webview: 9014
Codeby.Telegram Webview
Codeby Telegram TG Channel
Telegram Updated:
Telegram Codeby
FROM USA