Élévation des privilèges: charge de travail avec shareProcessNamespace activé

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Une personne a déployé une charge de travail avec l'option shareProcessNamespace définie sur true, ce qui permet à tous les conteneurs de partager le même espace de noms de processus Linux. Cela pourrait permettre à un conteneur non fiable ou compromis d'escalader les privilèges en accédant aux variables d'environnement, à la mémoire et à d'autres données sensibles des processus s'exécutant dans d'autres conteneurs, et en les contrôlant. Certaines charges de travail peuvent nécessiter cette fonctionnalité pour fonctionner pour des raisons légitimes, comme les conteneurs side-car de gestion des journaux ou les conteneurs de débogage. Pour en savoir plus, consultez le message du journal associé à cette alerte.

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

  1. Vérifiez que la charge de travail nécessite réellement l'accès à un espace de noms de processus partagé pour tous les conteneurs de la charge de travail.
  2. Vérifiez s'il existe d'autres signes d'activité malveillante de la part du compte principal dans les journaux d'audit de Cloud Logging.
  3. Si le compte principal n'est pas un compte de service (IAM ou Kubernetes), contactez le propriétaire du compte pour confirmer qu'il est bien à l'origine de l'action.
  4. Si le compte principal est un compte de service (IAM ou Kubernetes), assurez-vous de la légitimité de ce qui a amené le compte de service à effectuer cette action.

Étapes suivantes