Telegram Group & Telegram Channel
Telegram Group » Montserrat » Codeby » Telegram Webview » Post 9014
Codeby
KubeHound: как найти уязвимости в Kubernetes до того, как это сделают злоумышленники

Kubernetes сложен и подвержен ошибкам конфигурации, что приводит к инцидентам безопасности (67% компаний, по данным Red Hat).
KubeHound от DataDog помогает выявлять эти проблемы, моделируя поведение злоумышленника и показывая пути компрометации кластера, в отличие от обычных сканеров уязвимостей.

⁉️ Принцип работы KubeHound
KubeHound анализирует Kubernetes-кластер в три этапа:
1️⃣ Собирает данные о ролях, привязках, сервисных аккаунтах, настройках Pod, сетевых политиках и доступе к API.
2️⃣ Строит граф атак, определяя цепочки эксплуатации (например, через сервисный аккаунт к привилегированному Pod и доступу к ноде), показывая не только отдельные уязвимости, но и их комбинации.
3️⃣ Формирует отчет, выделяя критические риски с рекомендациями по исправлению.

⁉️ Уязвимости, которые находит KubeHound
1️⃣ Избыточные права сервисных аккаунтов
Часто в dev`-неймспейсах остаются сервисные аккаунты CI/CD с правами `cluster-admin. Злоумышленник может использовать их для развертывания вредоносных Pod или кражи данных.

2️⃣ Привилегированные Pod
Контейнеры с privileged: true или доступом к hostPID`/`hostNetwork позволяют атакующему выйти на ноду.

3️⃣ Опасные RBAC-правила
Пользователь с правами get pods + create pods + exec может создать Pod с serviceAccount: default и получить доступ к другим контейнерам.

🔝Топ-3 сценария, которые KubeHound находит лучше всех:
1️⃣ «Забытые ключи от королевства» (сервисные аккаунты с admin-правами)
- В dev`-неймспейсе остался сервисный аккаунт CI/CD, который умеет создавать Pods в `kube-system
- Его добавили для деплоя, но не удалили.
KubeHound покажет: «Через этот аккаунт можно развернуть вредоносный Pod с `privileged: true`».

2️⃣ «Троянский конь» (Pod с доступом к ноде)
Пример уязвимости: 
spec:
  containers:
  - name: innocent-app
    securityContext:
      privileged: true  # ← Вот это большая ошибка

Что может сделать злоумышленник?
- Запустить Docker-in-Docker и сбежать на хост.
- Украсть токены других подов через /var/run/secrets.

3️⃣ «Легальный хакер» (эскалация через RBAC)
Пользователь имеет права:
🔵get pods
🔵create pods
🔵exec
KubeHound предупредит: «Он может создать Pod с serviceAccount: default и получить шелл в любом контейнере»
Please open Telegram to view this post
VIEW IN TELEGRAM
www.tg-me.com/ms/Codeby/com.codeby_sec/9014
3.8K views



tg-me.com/codeby_sec/9014
Create:
Last Update:

KubeHound: как найти уязвимости в Kubernetes до того, как это сделают злоумышленники

Kubernetes сложен и подвержен ошибкам конфигурации, что приводит к инцидентам безопасности (67% компаний, по данным Red Hat).
KubeHound от DataDog помогает выявлять эти проблемы, моделируя поведение злоумышленника и показывая пути компрометации кластера, в отличие от обычных сканеров уязвимостей.

⁉️ Принцип работы KubeHound
KubeHound анализирует Kubernetes-кластер в три этапа:
1️⃣ Собирает данные о ролях, привязках, сервисных аккаунтах, настройках Pod, сетевых политиках и доступе к API.
2️⃣ Строит граф атак, определяя цепочки эксплуатации (например, через сервисный аккаунт к привилегированному Pod и доступу к ноде), показывая не только отдельные уязвимости, но и их комбинации.
3️⃣ Формирует отчет, выделяя критические риски с рекомендациями по исправлению.

⁉️ Уязвимости, которые находит KubeHound
1️⃣ Избыточные права сервисных аккаунтов
Часто в dev`-неймспейсах остаются сервисные аккаунты CI/CD с правами `cluster-admin. Злоумышленник может использовать их для развертывания вредоносных Pod или кражи данных.

2️⃣ Привилегированные Pod
Контейнеры с privileged: true или доступом к hostPID`/`hostNetwork позволяют атакующему выйти на ноду.

3️⃣ Опасные RBAC-правила
Пользователь с правами get pods + create pods + exec может создать Pod с serviceAccount: default и получить доступ к другим контейнерам.

🔝Топ-3 сценария, которые KubeHound находит лучше всех:
1️⃣ «Забытые ключи от королевства» (сервисные аккаунты с admin-правами)
- В dev`-неймспейсе остался сервисный аккаунт CI/CD, который умеет создавать Pods в `kube-system
- Его добавили для деплоя, но не удалили.
KubeHound покажет: «Через этот аккаунт можно развернуть вредоносный Pod с `privileged: true`».

2️⃣ «Троянский конь» (Pod с доступом к ноде)
Пример уязвимости: 

spec:
  containers:
  - name: innocent-app
    securityContext:
      privileged: true  # ← Вот это большая ошибка

Что может сделать злоумышленник?
- Запустить Docker-in-Docker и сбежать на хост.
- Украсть токены других подов через /var/run/secrets.

3️⃣ «Легальный хакер» (эскалация через RBAC)
Пользователь имеет права:
🔵get pods
🔵create pods
🔵exec
KubeHound предупредит: «Он может создать Pod с serviceAccount: default и получить шелл в любом контейнере»

BY Codeby




Share with your friend now:
tg-me.com/codeby_sec/9014

View MORE
Open in Telegram


Codeby Telegram | DID YOU KNOW?

Date: |

The Singapore stock market has alternated between positive and negative finishes through the last five trading days since the end of the two-day winning streak in which it had added more than a dozen points or 0.4 percent. The Straits Times Index now sits just above the 3,060-point plateau and it's likely to see a narrow trading range on Monday.

Telegram announces Search Filters

With the help of the Search Filters option, users can now filter search results by type. They can do that by using the new tabs: Media, Links, Files and others. Searches can be done based on the particular time period like by typing in the date or even “Yesterday”. If users type in the name of a person, group, channel or bot, an extra filter will be applied to the searches.

Codeby from ms


❓ KubeHound: как найти уязвимости в Kubernetes до того

 Codeby TG
Webview: 9014
Codeby.Telegram Webview
Codeby Telegram TG Channel
Telegram Updated:
Telegram Codeby
FROM USA