Y un par de historias de cómo casi nos hackearon PABLO FREDRIKSON SEGURIDAD EN KUBERNETES

@pablokbs Pablo Fredrikson ● Principal SRE @ Split Software ● Nerd ● 17 años de experiencia en el rubro ● 5 años con Kubernetes en Producción ● CNCF Ambassador ● YouTuber Extraordinaire

Kubernetes PABLO FREDRIKSON @pablokbs

Kubernetes - ¿Cómo atacarlo? PABLO FREDRIKSON @pablokbs

PABLO FREDRIKSON @pablokbs DEMO (voto.peladonerd.com)

PABLO FREDRIKSON @pablokbs Lo logramos! (espero)

Recapitulemos 1. Encontramos un sitio vulnerable para subir archivos (sin checkeo de tipo de archivo) 2. Ejecutamos una shell reversa 3. kubectl (no tenía permisos suficientes) 4. curl user-data y security-credentials (IMDSv1) a. Obtuvimos credenciales AWS b. Obtuvimos credenciales de Kubernetes 5. kubectl describe voto-app a. Obtuvimos credenciales Postgres 6. Descargamos psql y h4xx PABLO FREDRIKSON @pablokbs

PABLO FREDRIKSON @pablokbs ¿Cómo prevenimos esto?

Cómo prevenir: Cuidá tu aplicación PABLO FREDRIKSON @pablokbs

Cómo prevenir: Configurá bien tu cluster PABLO FREDRIKSON @pablokbs 1. Desactivá acceso externo a tu API de Kubernetes 2. No compartas usuarios de Kubernetes 3. No uses variables de entorno para secretos 4. Desactivá IMDSv1 (para AWS) $ curl http://169.254.169.254/latest/meta-data/ ami-id ami-launch-index ami-manifest-path block-device-mapping/ events/ hostname iam/ instance-action instance-id instance-type local-hostname local-ipv4 …

Cómo prevenir: Usá IMDSv2! PABLO FREDRIKSON @pablokbs $ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \ && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/ ami-id ami-launch-index ami-manifest-path block-device-mapping/ events/ hostname iam/ instance-action instance-id instance-type local-hostname local-ipv4 mac metrics/ network/ placement/ profile public-hostname public-ipv4 public-keys/ reservation-id security-groups services/ $ curl http://169.254.169.254/latest/meta-data/ ami-id ami-launch-index ami-manifest-path block-device-mapping/ events/ hostname iam/ instance-action instance-id instance-type local-hostname local-ipv4 mac metrics/ network/ placement/ profile public-hostname public-ipv4 public-keys/ reservation-id security-groups services/

Cómo prevenir: Kubernetes CVEs PABLO FREDRIKSON @pablokbs https://kubernetes.io/security

OWASP Kubernetes Top 10 (2022) K01: Insecure Workload Configurations K02: Supply Chain Vulnerabilities K03: Overly Permissive RBAC Configurations K04: Lack of Centralized Policy Enforcement K05: Inadequate Logging and Monitoring K06: Broken Authentication Mechanisms K07: Missing Network Segmentation Controls K08: Secrets Management Failures K09: Misconfigured Cluster Components K10: Outdated and Vulnerable Kubernetes Components https://owasp.org/www-project-kubernetes-top-ten PABLO FREDRIKSON @pablokbs

Miren mi video con Tim Allclair https://youtube.com/peladonerd PABLO FREDRIKSON @pablokbs

PABLO FREDRIKSON @pablokbs Gracias peladonerd.com