Rechteausweitung: Verdächtige Kubernetes-Containernamen – Ausnutzung und Escape

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die ähnelt der von gängigen Tools, die für Container-Escapes oder andere Angriffe auf den Cluster verwendet werden. Weitere Informationen finden Sie in der Log-Meldung für diese Benachrichtigung.

So reagieren Sie

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

  1. Bestätigen Sie, dass der Pod rechtmäßig ist.
  2. Stellen Sie fest, ob die Audit-Logs in Cloud Logging weitere Anzeichen für schädliche Aktivitäten des Pods oder Hauptkontos enthalten.
  3. Wenn das Hauptkonto kein IAM- oder Kubernetes-Dienstkonto ist, lassen Sie sich vom rechtmäßigen Inhaber des Kontos bestätigen, dass er die Aktion ausgeführt hat.
  4. Wenn das Hauptkonto ein IAM- oder Kubernetes-Dienstkonto ist, identifizieren Sie die Quelle der Aktion, um deren Rechtmäßigkeit festzustellen.
  5. Wenn der Pod nicht rechtmäßig ist, entfernen Sie ihn zusammen mit allen zugehörigen RBAC-Bindungen und Dienstkonten, die von der Arbeitslast verwendet wurden und die seine Erstellung zugelassen haben.

Nächste Schritte