Z氏はKubernetesクラスタを手中に収めることができたのか

Z氏 Kubernetes クラスタを、手中に収めることができたか OTSUKA, Motohiro / Yuanying

2018年12月4日

CVE-2018-1002105

某X社社内環境 A氏: 社内開発者、k8s クラスタ開発者アカウントを持っているもセキュリティ上理由によりクラスタ管理者
相当権限を持っていない。 Z氏: 協力会社社員。k8s へアクセス権を持っていない。ひょんなことから k8s API エンドポイントを知ってしまった。

Z氏 Kubernetes クラスタを、手中に収めることができたか

kube-apiserver

Central dogma of molecular biology https://en.wikipedia.org/wiki/Central_dogma_of_molecular_biology

Central dogma of Kubernetes apiserver master node

The API server is the gateway to the Kubernetes cluster.
It is the central touch point that is accessed by all users, automation, and components in the Kubernetes cluster. -- Managing Kubernetes https://www.oreilly.com/library/view/managing-kubernetes/9781492033905/ch04.html

reconciliation loop 各コンポーネント、apiserver に保持された状態を監視し、実際オブジェクト Actual な状態を apiserver
に宣言された状態へと変化させていく。

例え ReplicaSets

replicasets controller apiserver Node (kubelet) RS replica:2

replicasets controller apiserver Node (kubelet) Pod Pod

replicasets controller apiserver Node (kubelet)

apiserver replicasets controller Node (kubelet) RS replica:2 watch watch post

apiserver replicasets controller Node (kubelet) RS replica:2 get watch

apiserver replicasets controller Node (kubelet) post watch Pod Pod

apiserver replicasets controller Node (kubelet) get Pod Pod

apiserver replicasets controller Node (kubelet)

reconciliation loop 各コンポーネント、apiserver に保持された状態を監視し、実際オブジェクト Actual な状態を apiserver
に宣言された状態へと変化させていく。

kube-api Pod PV with CSI Vol Volume Attachment kube controller-manager
attach/detach controller Storage Bacend Volume StatefulSet (replica: 1) external attacher Controller CSI Plugin Empty Dir Volume CSI call via UDS Node DaemonSet driver registrar Node CSI Plugin kubelet CSI/k8s internal call via UDS host /.../sockets Device /var/lib/kubelet/XXX CSI call via UDS Watch Watch Watch Watch/ Update Create

There is no general rule without some exceptions. https://en.wikipedia.org/wiki/Feline_leukemia_virus

Central dogma of molecular biology https://en.wikipedia.org/wiki/Central_dogma_of_molecular_biology

Reverse transcription (RNA -> DNA) Rev. Transcriptase

RNA replication (RNA -> RNA) RNA Polymerase

apiserver ? ?

apiserver Pod (Node) Aggregated API server 1. Pod に対する exec/attach/port_forward
2. Aggregated API Server

Pod に対する exec/attach/port_forward

Pod に対する exec/attach/port_forward apiserver kubelet Kubernetes API (ユーザ権限) Kubelet
API (apiserver 権限)

Kubelet API • /pods • /spec/ • /exec/{podNamespace}/{podID}/{containerName} • /attach/{podNamespace}/{podID}/{containerName}
• /portForward/{podNamespace}/{podID}/{containerName}

Kubelet API -- 認証 --

apiserver kubelet Kubernetes API GET /api/v1/namespaces/${NS}/pods/${POD}/exec Authorization: Bearer ${USER_TOKEN} Kubelet
API with Client Cert (API Server) GET /exec/${NS}/${POD}/${CONTAINER}

apiserver kubelet Kubernetes API GET /api/v1/namespaces/${NS}/pods/${POD}/exec Authorization: Bearer ${USER_TOKEN} Kubelet
API with Client Cert (API Server) GET /exec/${NS}/${POD}/${CONTAINER} apiserver からリクエストをどうにかして書き換えられれ、kubelet API 自在に操ることができそうだぞ ……！？

Aggregated API Server

Kubernetes APIを拡張する方法 1. Custom Resource Definition (CRD) ◦ オススメ
方法 2. Aggregated API Server ◦ CRD で実現不可能な API を実装する場合

k8s api metrics server service catalog Kubernetes に Kubernetes API
に加えて別 API を追加する。

Aggregated API Servers k8s api metrics server service catalog Aggregator
(k8s api endpoint)

Aggregated API Servers kube-apiserver k8s api metrics server service catalog
Aggregator

Aggregated API Server -- サービスディスカバリ --

$ curl -k https://${API_ENDPOINT}/apis $ curl -k https://${API_ENDPOINT}/apis/${API_GROUP}/${API_VERSION}

Aggregated API Server • Service Catalog • Metrics Server •
…

Aggregated API Server -- 認証 --

Aggregated API Aggregator (apiserver) Aggregated API Server に、認証情報をどう伝えるか？ Kubernetes
いくつも認証手段を持っているため、単にリクエストを転送するだけだと、バックエンドがそ認証手段を解決しなけれならなくなる。

Aggregated API Aggregator (apiserver) GET /api HTTP/1.1 Authorization: Bearer ${TOKEN}
GET /api HTTP/1.1 X-Remote-User: user-a Authorization API user-a こ API を call できるか？ token から認証し、ユーザアカウント名を取得認証プロキシとして動作

GET /api HTTP/1.1 X-Remote-User: user-a Authorization API user-a こ API を call できるか？ token から認証し、ユーザアカウント名を取得 apiserver からリクエストをどうにかして書き換えられれ、Aggregated API Server API 自在に操ることができそうだぞ……！？

唐突に HTTP 基礎

Web Server

Web Server TCP 接続

Web Server TCP 接続 HTTP 要求

Web Server TCP 接続 HTTP 要求 HTTP 応答

Web Server TCP 接続 TCP 解放 HTTP 要求 HTTP 応答

TCP 接続 TCP 解放 HTTP 要求 Reverse Proxy Backend TCP
接続 HTTP 応答 HTTP 応答 TCP 解放 HTTP 要求

WebSocket?

TCP 接続 TCP 解放 HTTP Upgrade Reverse Proxy Backend TCP
接続 TCP 解放 HTTP Upgrade WebSocket 接続モード Reverse Proxy WebSocket 接続モードへと切り替わったち、 Client からパケットを Backend へ中継みを行う。

TCP 接続 TCP 解放 HTTP Upgrade Reverse Proxy Backend TCP
接続 TCP 解放 HTTP Upgrade Upgrade に失敗した場合、接続を終了し以降クライアントからリクエスト破棄する必要がある。 HTTP Upgrade 失敗!

今回脆弱性

TCP 接続 HTTP Upgrade Reverse Proxy Backend TCP 接続 HTTP
Upgrade HTTP Upgrade 失敗! WebSocket 接続モード HTTP Upgrade に失敗し、 WebSocket を受信する準備が整っていないサーバに対して無制限にデータを送れてしまう！エラーハンドリングに問題があり、Upgrade が失敗したにも関わらず、Reverse Proxy が WebSocket 接続モードに移行してしまう。

何ができるか？

バックエンド APIをリクエストできる人誰でも、 apiserver 権限でバックエンド APIをリクエストできてしまう。

権限昇格脆弱性

デモ

apiserver kubelet A氏: 社内開発者 Z氏: 協力会社社員 $ kubectl exec $
kubectl exec GET /pods 本来呼び出せない kubelet API を呼び出してみる

デモ環境 namespace: production namespace: development A氏: 社内開発者 Z氏: 協力会社社員 nginx-prod
nginx-dev

namespace: production namespace: development apiserver kubelet A氏: 社内開発者 $ kubectl
exec prod $ kubectl exec dev apiserver にて、ユーザ認証に基づき、適切な kubelet api を呼び出している。

TCP 接続 HTTP Upgrade Reverse Proxy Backend TCP 接続 HTTP
Upgrade HTTP Upgrade 失敗! WebSocket 接続モードエラーハンドリングに問題があり、Upgrade が失敗したにも関わらず、Reverse Proxy が WebSocket 接続モードに移行してしまう。

apiserver kubelet A氏: 社内開発者 Z氏: 協力会社社員 $ kubectl exec $
kubectl exec GET /pods 本来呼び出せない kubelet API を呼び出してみる

Aggregated API Servers kube-apiserver k8s api metrics server service catalog
Aggregator A氏: 社内開発者 Z氏: 協力会社社員本来呼び出せない metrics api を呼び出してみる

Aggregated API Server -- サービスディスカバリ --

TCP 接続 HTTP 要求 apiserver metrics server TCP 接続 HTTP
要求 GET /apis/metrics.k8s.io/v1beta1 Host: minikube GET /apis/metrics.k8s.io/v1beta1 Host: metrics-server

TCP 接続 HTTP 要求 apiserver metrics server TCP 接続 HTTP
要求 GET /apis/metrics.k8s.io/v1beta1 Host: minikube Connection: Upgrade GET /apis/metrics.k8s.io/v1beta1 Host: metrics-server Connection: Upgrade 本来必要ない Connection: Upgrade を載せてみると？ HTTP Upgrade 失敗! そもそも Upgrade に対応してないで…。アタックチャンス！

GET /api HTTP/1.1 X-Remote-User: user-a Authorization API user-a こ API を call できるか？ token から認証し、ユーザアカウント名を取得

Aggregated API Server API を呼び出すことができる。

ただし！

Aggregated API Server API で「Kubernetes クラスタ乗っ取り」API が実装されていれ可能。

kubectl exec できるかもしれない。

まとめ 1. Kubernetes API に対する exec/attach/port_forward 呼び出し権限を持っている人、ノード上
Podに対して任意コマンドを実行できてしまう。 2. Kubernetes API エンドポイントを知ってる人クラスタを乗っ取ることができる、という言い過ぎ。

まとめ 2 1. どちらにしろ環境による。 ◦ 他人から情報を鵜呑みにせず、脆弱性が自分環境ど
ような影響を与えるかちゃんと確認しましょう。

Z氏 Kubernetes クラスタを、手中に収めることができたか OTSUKA, Motohiro / Yuanying

Who am I ? • OTSUKA, Motohiro / Yuanying ◦
Z Lab Corporation ◦ 元 OpenStack Magnum コントリビュータ ◦ 言語 ▪ Ruby (2007 - ) ▪ Python (2014 - ) ▪ Go (2017 - ) ◦ 趣味 ▪ ロードバイク (2009 - ) ▪ トライアスロン (2010 - )

We are hiring

References: • https://github.com/kubernetes/kubernetes/issues/71411 • http://icooon-mono.com/ • https://japan.zdnet.com/article/35129584/ • https://jp.tenable.com/blog/kubernetes-privilege-escalation-vulner ability-publicly-disclosed-cve-2018-1002105
• https://nakedsecurity.sophos.com/ja/2018/12/05/kubernetes-clou d-computing-bug-could-rain-data-for-attackers/ • https://snyk.io/blog/critical-arbitrary-code-execution-vulnerability- found-in-kubernetes/ • https://en.wikipedia.org/wiki/Central_dogma_of_molecular_biology • https://en.wikipedia.org/wiki/Feline_leukemia_virus

Z氏はKubernetesクラスタを手中に収めることができたのか

Z氏はKubernetesクラスタを手中に収めることができたのか

More Decks by O. Yuanying

Other Decks in Technology

Featured

Transcript