Eskalasi Hak Istimewa: Perubahan pada objek RBAC Kubernetes yang sensitif

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Untuk meningkatkan hak istimewa, aktor yang berpotensi berbahaya mencoba mengubah objek kontrol akses berbasis peran (RBAC) ClusterRole, RoleBinding, atau ClusterRoleBinding dari peran cluster-admin yang sensitif dengan menggunakan permintaan PUT atau PATCH.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Changes to sensitive Kubernetes RBAC objects seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Summary, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan panggilan.
     • Nama metode: metode yang dipanggil.
     • Binding Kubernetes: binding Kubernetes sensitif atau ClusterRoleBinding yang diubah.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Di bagian Yang terdeteksi, klik nama binding di baris Binding Kubernetes. Detail binding akan ditampilkan.

4. Dalam binding yang ditampilkan, catat detail binding.

Langkah 2: Periksa log

1. Di tab Summary pada detail temuan di konsol Google Cloud , buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.

2. Jika nilai di Nama metode adalah metode PATCH, periksa isi permintaan untuk melihat properti yang diubah.

   Dalam panggilan update (PUT), seluruh objek dikirim dalam permintaan, sehingga perubahannya tidak terlalu jelas.

3. Periksa tindakan lain yang dilakukan oleh kepala sekolah menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses
2. Konfirmasi sensitivitas objek dan apakah modifikasi diperlukan.
3. Untuk binding, Anda dapat memeriksa subjek dan menyelidiki apakah subjek memerlukan peran yang terikat dengannya.
4. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh principal dalam log.

5. Jika email utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

   Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber modifikasi untuk menentukan keabsahannya.

6. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.