Kubernetes (K8s) Sızma Testi Rehberi: Black Box Yaklaşımı
Kubernetes (K8s) Sızma Testi Rehberi: Black Box Yaklaşımı
Uygulamalarımızı konteynerleştirip mikroservislerle yönettikçe Kubernetes (K8s) her modern IT ekibinin vazgeçilmez altyapısı haline geldi. Ancak koca bir bulut (Cloud) ekosistemini orkestre eden bu devasa yapı, yapılandırma eksikliklerinde siber korsanlar (hacker'lar) için "cennetin kapısı" konumundadır.
Kısa Cevap: Bir Kubernetes kümesinin Black Box (Kara Kutu) sızma testi, saldırganın sistem hakkında hiçbir içeriden bilgisi olmadan -sadece dışa bakan servislere, API uçlarına veya pod içine yerleştirdiği masum görünen bir komut ile- kümeyi (Cluster) ele geçirmesini hedefler. Sızma testi esnasında en çok, internete açık unutulan Kube-apiserver portları, kimlik doğrulaması kapatılmış (Anonymous Access) Kubelet yapılandırmaları ve yetki kontrolü zayıf (RBAC misconfiguration) profiller suistimal edilir.
Bu makalede Eresus Security tarzı ileri düzey Cloud Pentest operasyonlarında bir K8s kümesinin nasıl adım adım haritalandırılıp, istismar (expoloit) edildiğinin Playbook (oyun planı) anatomisini sunuyoruz.
1. Dış Keşif (External Recon)
Saldırganlar işe dışarıdan açık olan noktaları (Attack Surface) tarayarak başlar.
- Kubernetes API Sunucusu (6443 / 443 TCP): Varsayılan ayarlarda API Server sadece yetkili sertifikalarla erişime açılmalıdır. Ancak yanlış yapılandırılmış bir API, anonim kullanıcıların
https://api.domain.com/versionhatta daha tehlikelisiapi/v1/podskomutlarını okumasına izin verebilir. - Kubelet Portları (10250 TCP): Her bir Node (sunucu) üzerinde çalışan Kubelet, yetkilendirmesi (authentication) açık unutulduğunda facianın ta kendisidir. Saldırgan dışarıdan 10250 portuna bir curl atarak sistemde doğrudan "exec" komutları (bash) çalıştırabilir.
2. Pod İçinden Küme Ele Geçirme (Lateral Movement & Escalation)
Diyelim ki saldırgan dışarıda açık bulduğu bir web uygulamasındaki minik bir zafiyetle (SSRF ya da RCE) bir K8s Pod'unun içerisine düştü. Artık iç ağdadır. Black Box testi İç Keşif (Internal Recon) aşamasına geçer.
A. Hizmet Hesabı Jetonları (Service Account Tokens)
K8s'de varsayılan olarak her pod içerisine bir "Service Account Token" otomatik olarak bağlanır (mount edilir). Saldırgan pod içerisindeyken şu dizine gider:
/var/run/secrets/kubernetes.io/serviceaccount/token
Eğer bu jetonun (token), Küme Yöneticisi (ClusterRole) veya sırları (Secrets) okuyabilme rolü varsa, saldırgan tek bir curl komutu ile sistemdeki tüm veritabanı şifrelerini çalabilir veya kendine yeni yönetici podları (Privileged Pod) oluşturabilir.
B. Bulut Metadata Servislerine Sıçrama (Cloud Metadata SSRF)
AWS (EKS), Azure (AKS) veya GCP (GKE) gibi yönetilen bulut servislerinde pod'lar bulutun kendi meta-veri servislerine (169.254.169.254) erişebiliyor olabilir. Pod'un içine yerleşen korsan, bu adresi sorgulayarak AWS IAM rollerine sahip geçici JWT oturumlarını çalabilir. Bu da Kubernetes sınırlarını aşıp doğrudan şirketin Bulut Altyapısını ele geçirmek demektir.
3. Kubernetes Neden Standart Pentestler İle Kontrol Edilemez?
Standart bir otomasyon ağ tarayıcısı (Nesus, OpenVAS vs.) sunuculara sadece dışarıdan IP bazlı bakar, güncel olmayan Apache varsa söyler. Fakat o sunucuların Kubernetes üstünde "mantıksal" olarak uçtan uca ağ ile birbirine bağlı olduğundan (CNI - Flannel/Calico vb.), Pod'dan Kaçış (Pod Escape) zafiyetinden habersizdir.
- Çalışan Pod'ların Security Context değerlerinin yanlış verilip (örneğin
privileged: true) Linux Kernel izolasyonunun bozulması. - RBAC (Rol Tabanlı Erişim Kontrolü) izinlerinin geliştiricilere aşırı geniş (Wildcard
*) dağıtılması.
Bu denli sofistike hataları görebilmek için sistemin "Konteyner ve Bulut Yerel" (Cloud-Native) güvenliği dinamiklerini çok iyi bilen ofansif siber güvenlik mühendislerinin Black Box Kubernetes simülasyonları yapması zorunludur.
"Bir pod kaybederseniz uygulamanız çökebilir; cluster yetkinizi (Token) kaybederseniz tüm şirketinizin dijital omurgasını kaybedersiniz."
Siz de şirketinizin bulut mimarisinde ve mikroservis iletişimlerinde güvenlik boşlukları olabileceğinden şüpheleniyorsanız, Eresus Security'nin ileri düzey Bulut ve K8s Sızma Testi operasyonları için uzmanlarımızla hemen görüşebilirsiniz.