Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein ClusterRole-, RoleBinding- oder ClusterRoleBinding-Objekt der rollenbasierten Zugriffssteuerung (RBAC) der vertraulichen Rolle cluster-admin zu ändern, indem er eine PUT- oder PATCH-Anfrage stellte.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

  1. Öffnen Sie das Privilege Escalation: Changes to sensitive Kubernetes RBAC objects-Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird mit dem Tab Zusammenfassung geöffnet.

  2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

    • Was wurde erkannt?, insbesondere die folgenden Felder:
      • Hauptkonto-E-Mail-Adresse: Das Konto, mit dem der Anruf getätigt wurde.
      • Methodenname: Die aufgerufene Methode.
      • Kubernetes-Bindungen: Die vertrauliche Kubernetes-Bindung oder ClusterRoleBinding, die geändert wurde.
    • Betroffene Ressource, insbesondere die folgenden Felder:
      • Anzeigename der Ressource: Der Kubernetes-Cluster, in dem die Aktion ausgeführt wurde.
    • Weitere Informationen, insbesondere die folgenden Felder:
      • Cloud Logging-URI: Link zu Logging-Einträgen.
      • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
      • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

  3. Klicken Sie im Abschnitt Was wurde erkannt? in der Zeile Kubernetes-Bindungen auf den Namen der Bindung. Die Bindungsdetails werden angezeigt.

  4. Sehen Sie sich die Details der angezeigten Bindung an.

Schritt 2: Protokolle prüfen

  1. Rufen Sie auf dem Tab Zusammenfassung der Funddetails in der Google Cloud -Konsole den Log-Explorer auf. Klicken Sie dazu auf den Link im Feld Cloud Logging-URI.

  2. Wenn der Wert in Method name eine PATCH-Methode war, prüfen Sie den Anfragetext, um zu sehen, welche Eigenschaften geändert wurden.

    Bei update-Aufrufen (PUT) wird das gesamte Objekt in der Anfrage gesendet, sodass die Änderungen nicht so deutlich sind.

  3. Prüfen Sie mit den folgenden Filtern, ob das Hauptkonto andere Aktionen ausgeführt hat:

    • resource.labels.cluster_name="CLUSTER_NAME"

    • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

      Ersetzen Sie Folgendes:

    • CLUSTER_NAME: Der Wert, den Sie in den Funddetails im Feld Anzeigename der Ressource notiert haben.

    • PRINCIPAL_EMAIL: Der Wert, den Sie in den Details des Ergebnisses im Feld E-Mail-Adresse des Hauptkontos notiert haben.

Schritt 3: Forschungsangriffe und Reaktionsmethoden

  1. Sehen Sie sich die MITRE-ATT&CK-Framework-Einträge für diesen Ergebnistyp an: Rechteausweitung.
  2. Prüfen Sie die Empfindlichkeit des Objekts und finden Sie heraus, ob die Änderung gerechtfertigt ist.
  3. Bei Bindungen können Sie das Subjekt prüfen und untersuchen, ob es die Rolle braucht, an die es gebunden ist.
  4. Prüfen Sie, ob es weitere Anzeichen für schädliche Aktivitäten des Hauptkontos in den Logs gibt.

  5. Wenn die E-Mail-Adresse des Hauptkontos kein Dienstkonto ist, wenden Sie sich an den Inhaber, um herauszufinden, ob der rechtmäßige Kontoinhaber die Aktion ausgeführt hat.

    Wenn die E‑Mail-Adresse des Hauptkontos ein Dienstkonto ist (IAM oder Kubernetes), identifizieren Sie die Quelle der Änderung, um deren Rechtmäßigkeit zu ermitteln.

  6. Wenn Sie einen Reaktionsplan entwickeln möchten, kombinieren Sie Ihre Untersuchungsergebnisse mit der MITRE-Forschung.

Nächste Schritte