Elevación de privilegios: Cambios en los objetos RBAC sensibles de Kubernetes

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Para elevar privilegios, un agente potencialmente malicioso intentó modificar un objeto de control de acceso basado en roles (RBAC) ClusterRole, RoleBinding o ClusterRoleBinding del rol sensible cluster-admin con una solicitud PUT o PATCH.

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

  1. Abre el hallazgo de Privilege Escalation: Changes to sensitive Kubernetes RBAC objects como se indica en Revisa los hallazgos. Se abre el panel de detalles para el hallazgo en la pestaña Resumen.

  2. En la pestaña Resumen, revisa la información de las siguientes secciones:

    • Qué se detectó, especialmente los siguientes campos:
      • Correo electrónico principal: Es la cuenta que realizó la llamada.
      • Nombre del método: Es el método al que se llamó.
      • Vinculaciones de Kubernetes: Es la vinculación sensible de Kubernetes o el objeto ClusterRoleBinding que se modificó.
    • Recurso afectado, en especial los siguientes campos:
      • Nombre visible del recurso: Es el clúster de Kubernetes en el que se produjo la acción.
    • Vínculos relacionados, en especial los siguientes campos:
      • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
      • Método MITRE ATT&CK: Vínculo a la documentación de MITRE ATT&CK.
      • Resultados relacionados: Vínculos a los resultados relacionados

  3. En la sección Qué se detectó, haz clic en el nombre de la vinculación en la fila Vinculaciones de Kubernetes. Se muestran los detalles de la vinculación.

  4. En la vinculación que se muestra, anota los detalles de la vinculación.

Paso 2: Comprueba los registros

  1. En la pestaña Resumen de los detalles del hallazgo en la consola de Google Cloud , haz clic en el vínculo del campo URI de Cloud Logging para ir al Explorador de registros.

  2. Si el valor en Method name era un método PATCH, verifica el cuerpo de la solicitud para ver qué propiedades se modificaron.

    En las llamadas a update (PUT), el objeto completo se envía en la solicitud, por lo que los cambios no son tan claros.

  3. Verifica otras acciones que realizó el principal con los siguientes filtros:

    • resource.labels.cluster_name="CLUSTER_NAME"

    • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

      Reemplaza lo siguiente:

    • CLUSTER_NAME: Es el valor que anotaste en el campo Nombre visible del recurso en los detalles del hallazgo.

    • PRINCIPAL_EMAIL: El valor que anotaste en el campo Correo electrónico del principal en los detalles del hallazgo.

Paso 3: Investiga los métodos de ataque y respuesta

  1. Revisa las entradas del framework de MITRE ATT&CK para este tipo de resultado: Elevación de privilegios.
  2. Confirma la sensibilidad del objeto y si la modificación está justificada.
  3. En las vinculaciones, puedes comprobar el sujeto y determinar si necesita el rol al que está vinculado.
  4. Determina si hay otros indicios de actividad maliciosa por parte de la principal en los registros.

  5. Si el correo electrónico principal no es una cuenta de servicio, comunícate con el propietario de la cuenta para confirmar si el propietario legítimo realizó la acción.

    Si el correo electrónico principal es una cuenta de servicio (IAM o Kubernetes), identifica el origen de la modificación para determinar su legitimidad.

  6. Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.

¿Qué sigue?