Telegram Group & Telegram Channel
Telegram Group » Turkey » Codeby » Telegram Webview » Post 9014
Codeby
KubeHound: как найти уязвимости в Kubernetes до того, как это сделают злоумышленники

Kubernetes сложен и подвержен ошибкам конфигурации, что приводит к инцидентам безопасности (67% компаний, по данным Red Hat).
KubeHound от DataDog помогает выявлять эти проблемы, моделируя поведение злоумышленника и показывая пути компрометации кластера, в отличие от обычных сканеров уязвимостей.

⁉️ Принцип работы KubeHound
KubeHound анализирует Kubernetes-кластер в три этапа:
1️⃣ Собирает данные о ролях, привязках, сервисных аккаунтах, настройках Pod, сетевых политиках и доступе к API.
2️⃣ Строит граф атак, определяя цепочки эксплуатации (например, через сервисный аккаунт к привилегированному Pod и доступу к ноде), показывая не только отдельные уязвимости, но и их комбинации.
3️⃣ Формирует отчет, выделяя критические риски с рекомендациями по исправлению.

⁉️ Уязвимости, которые находит KubeHound
1️⃣ Избыточные права сервисных аккаунтов
Часто в dev`-неймспейсах остаются сервисные аккаунты CI/CD с правами `cluster-admin. Злоумышленник может использовать их для развертывания вредоносных Pod или кражи данных.

2️⃣ Привилегированные Pod
Контейнеры с privileged: true или доступом к hostPID`/`hostNetwork позволяют атакующему выйти на ноду.

3️⃣ Опасные RBAC-правила
Пользователь с правами get pods + create pods + exec может создать Pod с serviceAccount: default и получить доступ к другим контейнерам.

🔝Топ-3 сценария, которые KubeHound находит лучше всех:
1️⃣ «Забытые ключи от королевства» (сервисные аккаунты с admin-правами)
- В dev`-неймспейсе остался сервисный аккаунт CI/CD, который умеет создавать Pods в `kube-system
- Его добавили для деплоя, но не удалили.
KubeHound покажет: «Через этот аккаунт можно развернуть вредоносный Pod с `privileged: true`».

2️⃣ «Троянский конь» (Pod с доступом к ноде)
Пример уязвимости: 
spec:
  containers:
  - name: innocent-app
    securityContext:
      privileged: true  # ← Вот это большая ошибка

Что может сделать злоумышленник?
- Запустить Docker-in-Docker и сбежать на хост.
- Украсть токены других подов через /var/run/secrets.

3️⃣ «Легальный хакер» (эскалация через RBAC)
Пользователь имеет права:
🔵get pods
🔵create pods
🔵exec
KubeHound предупредит: «Он может создать Pod с serviceAccount: default и получить шелл в любом контейнере»
Please open Telegram to view this post
VIEW IN TELEGRAM
www.tg-me.com/tr/Codeby/com.codeby_sec/9014
3.9K views



tg-me.com/codeby_sec/9014
Create:
Last Update:

KubeHound: как найти уязвимости в Kubernetes до того, как это сделают злоумышленники

Kubernetes сложен и подвержен ошибкам конфигурации, что приводит к инцидентам безопасности (67% компаний, по данным Red Hat).
KubeHound от DataDog помогает выявлять эти проблемы, моделируя поведение злоумышленника и показывая пути компрометации кластера, в отличие от обычных сканеров уязвимостей.

⁉️ Принцип работы KubeHound
KubeHound анализирует Kubernetes-кластер в три этапа:
1️⃣ Собирает данные о ролях, привязках, сервисных аккаунтах, настройках Pod, сетевых политиках и доступе к API.
2️⃣ Строит граф атак, определяя цепочки эксплуатации (например, через сервисный аккаунт к привилегированному Pod и доступу к ноде), показывая не только отдельные уязвимости, но и их комбинации.
3️⃣ Формирует отчет, выделяя критические риски с рекомендациями по исправлению.

⁉️ Уязвимости, которые находит KubeHound
1️⃣ Избыточные права сервисных аккаунтов
Часто в dev`-неймспейсах остаются сервисные аккаунты CI/CD с правами `cluster-admin. Злоумышленник может использовать их для развертывания вредоносных Pod или кражи данных.

2️⃣ Привилегированные Pod
Контейнеры с privileged: true или доступом к hostPID`/`hostNetwork позволяют атакующему выйти на ноду.

3️⃣ Опасные RBAC-правила
Пользователь с правами get pods + create pods + exec может создать Pod с serviceAccount: default и получить доступ к другим контейнерам.

🔝Топ-3 сценария, которые KubeHound находит лучше всех:
1️⃣ «Забытые ключи от королевства» (сервисные аккаунты с admin-правами)
- В dev`-неймспейсе остался сервисный аккаунт CI/CD, который умеет создавать Pods в `kube-system
- Его добавили для деплоя, но не удалили.
KubeHound покажет: «Через этот аккаунт можно развернуть вредоносный Pod с `privileged: true`».

2️⃣ «Троянский конь» (Pod с доступом к ноде)
Пример уязвимости: 

spec:
  containers:
  - name: innocent-app
    securityContext:
      privileged: true  # ← Вот это большая ошибка

Что может сделать злоумышленник?
- Запустить Docker-in-Docker и сбежать на хост.
- Украсть токены других подов через /var/run/secrets.

3️⃣ «Легальный хакер» (эскалация через RBAC)
Пользователь имеет права:
🔵get pods
🔵create pods
🔵exec
KubeHound предупредит: «Он может создать Pod с serviceAccount: default и получить шелл в любом контейнере»

BY Codeby




Share with your friend now:
tg-me.com/codeby_sec/9014

View MORE
Open in Telegram


Codeby Telegram | DID YOU KNOW?

Date: |

How Does Bitcoin Work?

Bitcoin is built on a distributed digital record called a blockchain. As the name implies, blockchain is a linked body of data, made up of units called blocks that contain information about each and every transaction, including date and time, total value, buyer and seller, and a unique identifying code for each exchange. Entries are strung together in chronological order, creating a digital chain of blocks. “Once a block is added to the blockchain, it becomes accessible to anyone who wishes to view it, acting as a public ledger of cryptocurrency transactions,” says Stacey Harris, consultant for Pelicoin, a network of cryptocurrency ATMs. Blockchain is decentralized, which means it’s not controlled by any one organization. “It’s like a Google Doc that anyone can work on,” says Buchi Okoro, CEO and co-founder of African cryptocurrency exchange Quidax. “Nobody owns it, but anyone who has a link can contribute to it. And as different people update it, your copy also gets updated.”

To pay the bills, Mr. Durov is issuing investors $1 billion to $1.5 billion of company debt, with the promise of discounted equity if the company eventually goes public, the people briefed on the plans said. He has also announced plans to start selling ads in public Telegram channels as soon as later this year, as well as offering other premium services for businesses and users.

Codeby from tr


❓ KubeHound: как найти уязвимости в Kubernetes до того

 Codeby TG
Webview: 9014
Codeby.Telegram Webview
Codeby Telegram TG Channel
Telegram Updated:
Telegram Codeby
FROM USA