Acceso a credenciales: Intento fallido de aprobar la solicitud de firma de certificado (CSR) de Kubernetes

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Alguien intentó aprobar manualmente una solicitud de firma de certificado (CSR), pero la acción falló. Crear un certificado para la autenticación del clúster es un método común que usan los atacantes para crear acceso persistente a un clúster vulnerado. Los permisos asociados con el certificado varían según el asunto que incluyan, pero pueden ser altamente privilegiados. Para obtener más detalles, consulta el mensaje de registro de esta alerta.

Event Threat Detection es la fuente de este hallazgo.

Cómo responder

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

Para responder a este hallazgo, haz lo siguiente:

1. Revisa los registros de auditoría en Cloud Logging y las alertas adicionales para otros eventos relacionados con la CSR con el propósito de determinar si se approved y emitió alguna CSR, y si las acciones relacionadas con esta son una actividad esperada por parte de la principal.
2. Determina si hay otros indicios de actividad maliciosa por parte de la principal en los registros de auditoría de Cloud Logging. Por ejemplo:
   • ¿La principal que intentó aprobar la CSR era diferente de la que la creó?
   • ¿La principal intentó solicitar, crear, aprobar o borrar otras CSR?
3. Si no se esperaba una aprobación de CSR o se determina que es maliciosa, el clúster requerirá una rotación de credenciales para invalidar el certificado. Revisa la guía para realizar una rotación de las credenciales del clúster.

¿Qué sigue?

• Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de resultados de amenazas.
• Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
• Obtén más información sobre los servicios que generan hallazgos de amenazas.