Telegram Group & Telegram Channel
Telegram Group » Viet Nam » Codeby » Telegram Webview » Post 9014
Codeby
KubeHound: как найти уязвимости в Kubernetes до того, как это сделают злоумышленники

Kubernetes сложен и подвержен ошибкам конфигурации, что приводит к инцидентам безопасности (67% компаний, по данным Red Hat).
KubeHound от DataDog помогает выявлять эти проблемы, моделируя поведение злоумышленника и показывая пути компрометации кластера, в отличие от обычных сканеров уязвимостей.

⁉️ Принцип работы KubeHound
KubeHound анализирует Kubernetes-кластер в три этапа:
1️⃣ Собирает данные о ролях, привязках, сервисных аккаунтах, настройках Pod, сетевых политиках и доступе к API.
2️⃣ Строит граф атак, определяя цепочки эксплуатации (например, через сервисный аккаунт к привилегированному Pod и доступу к ноде), показывая не только отдельные уязвимости, но и их комбинации.
3️⃣ Формирует отчет, выделяя критические риски с рекомендациями по исправлению.

⁉️ Уязвимости, которые находит KubeHound
1️⃣ Избыточные права сервисных аккаунтов
Часто в dev`-неймспейсах остаются сервисные аккаунты CI/CD с правами `cluster-admin. Злоумышленник может использовать их для развертывания вредоносных Pod или кражи данных.

2️⃣ Привилегированные Pod
Контейнеры с privileged: true или доступом к hostPID`/`hostNetwork позволяют атакующему выйти на ноду.

3️⃣ Опасные RBAC-правила
Пользователь с правами get pods + create pods + exec может создать Pod с serviceAccount: default и получить доступ к другим контейнерам.

🔝Топ-3 сценария, которые KubeHound находит лучше всех:
1️⃣ «Забытые ключи от королевства» (сервисные аккаунты с admin-правами)
- В dev`-неймспейсе остался сервисный аккаунт CI/CD, который умеет создавать Pods в `kube-system
- Его добавили для деплоя, но не удалили.
KubeHound покажет: «Через этот аккаунт можно развернуть вредоносный Pod с `privileged: true`».

2️⃣ «Троянский конь» (Pod с доступом к ноде)
Пример уязвимости: 
spec:
  containers:
  - name: innocent-app
    securityContext:
      privileged: true  # ← Вот это большая ошибка

Что может сделать злоумышленник?
- Запустить Docker-in-Docker и сбежать на хост.
- Украсть токены других подов через /var/run/secrets.

3️⃣ «Легальный хакер» (эскалация через RBAC)
Пользователь имеет права:
🔵get pods
🔵create pods
🔵exec
KubeHound предупредит: «Он может создать Pod с serviceAccount: default и получить шелл в любом контейнере»
Please open Telegram to view this post
VIEW IN TELEGRAM
www.tg-me.com/vn/Codeby Pentest/com.codeby_sec/9014
3.6K views



tg-me.com/codeby_sec/9014
Create:
Last Update:

KubeHound: как найти уязвимости в Kubernetes до того, как это сделают злоумышленники

Kubernetes сложен и подвержен ошибкам конфигурации, что приводит к инцидентам безопасности (67% компаний, по данным Red Hat).
KubeHound от DataDog помогает выявлять эти проблемы, моделируя поведение злоумышленника и показывая пути компрометации кластера, в отличие от обычных сканеров уязвимостей.

⁉️ Принцип работы KubeHound
KubeHound анализирует Kubernetes-кластер в три этапа:
1️⃣ Собирает данные о ролях, привязках, сервисных аккаунтах, настройках Pod, сетевых политиках и доступе к API.
2️⃣ Строит граф атак, определяя цепочки эксплуатации (например, через сервисный аккаунт к привилегированному Pod и доступу к ноде), показывая не только отдельные уязвимости, но и их комбинации.
3️⃣ Формирует отчет, выделяя критические риски с рекомендациями по исправлению.

⁉️ Уязвимости, которые находит KubeHound
1️⃣ Избыточные права сервисных аккаунтов
Часто в dev`-неймспейсах остаются сервисные аккаунты CI/CD с правами `cluster-admin. Злоумышленник может использовать их для развертывания вредоносных Pod или кражи данных.

2️⃣ Привилегированные Pod
Контейнеры с privileged: true или доступом к hostPID`/`hostNetwork позволяют атакующему выйти на ноду.

3️⃣ Опасные RBAC-правила
Пользователь с правами get pods + create pods + exec может создать Pod с serviceAccount: default и получить доступ к другим контейнерам.

🔝Топ-3 сценария, которые KubeHound находит лучше всех:
1️⃣ «Забытые ключи от королевства» (сервисные аккаунты с admin-правами)
- В dev`-неймспейсе остался сервисный аккаунт CI/CD, который умеет создавать Pods в `kube-system
- Его добавили для деплоя, но не удалили.
KubeHound покажет: «Через этот аккаунт можно развернуть вредоносный Pod с `privileged: true`».

2️⃣ «Троянский конь» (Pod с доступом к ноде)
Пример уязвимости: 

spec:
  containers:
  - name: innocent-app
    securityContext:
      privileged: true  # ← Вот это большая ошибка

Что может сделать злоумышленник?
- Запустить Docker-in-Docker и сбежать на хост.
- Украсть токены других подов через /var/run/secrets.

3️⃣ «Легальный хакер» (эскалация через RBAC)
Пользователь имеет права:
🔵get pods
🔵create pods
🔵exec
KubeHound предупредит: «Он может создать Pod с serviceAccount: default и получить шелл в любом контейнере»

BY Codeby




Share with your friend now:
tg-me.com/codeby_sec/9014

View MORE
Open in Telegram


Codeby Pentest Telegram | DID YOU KNOW?

Date: |

The Singapore stock market has alternated between positive and negative finishes through the last five trading days since the end of the two-day winning streak in which it had added more than a dozen points or 0.4 percent. The Straits Times Index now sits just above the 3,060-point plateau and it's likely to see a narrow trading range on Monday.

Look for Channels Online

You guessed it – the internet is your friend. A good place to start looking for Telegram channels is Reddit. This is one of the biggest sites on the internet, with millions of communities, including those from Telegram.Then, you can search one of the many dedicated websites for Telegram channel searching. One of them is telegram-group.com. This website has many categories and a really simple user interface. Another great site is telegram channels.me. It has even more channels than the previous one, and an even better user experience.These are just some of the many available websites. You can look them up online if you’re not satisfied with these two. All of these sites list only public channels. If you want to join a private channel, you’ll have to ask one of its members to invite you.

Codeby Pentest from vn


❓ KubeHound: как найти уязвимости в Kubernetes до того

 Codeby TG
Webview: 9014
Codeby.Telegram Webview
Codeby Telegram TG Channel
Telegram Updated:
Telegram Codeby
FROM USA