Kubernetes — это open-source ПО, предназначенное для мониторинга и управления Kubernetes-кластером. В состав Kubernetes входит Dashboard — удобный графический интерфейс, отображающий метрики, статус приложений и (при наличии соответствующих прав) позволяющий изменять конфигурацию кластера. Такой Dashboard может предоставить атакующему полный контроль над кластером.

В этом учебном модуле мы покажем:

• как Kubernetes Dashboard может оказаться открытым наружу,
• как обнаружить его в blackbox-сценарии,
• какие уровни информации может получить атакующий,
• и как атакующий может установить бэкдор.

Эксплуатацию и установку бэкдора мы разберём в следующем учебном модуле.

Мы рассмотрим следующие учебные блоки (Learning Units):

• Развёртывание (публикация) Kubernetes Dashboard
• Обнаружение открытых Dashboard
• Эксплуатация открытого Dashboard

1. Публикация Kubernetes Dashboard

Прежде чем говорить об обнаружении и эксплуатации Kubernetes Dashboard, обсудим, как он может быть сконфигурирован. Мы начнём с рекомендуемой Kubernetes безопасной конфигурации и рассмотрим manifest-файл, который разворачивает Dashboard. Затем мы будем постепенно добавлять уязвимые изменения, чтобы продемонстрировать различные векторы атак.

Хотя эти уязвимые конфигурации отклоняются от рекомендованной установки, они добавляют «удобства», поэтому такие варианты нередко встречаются «в дикой природе».

Этот учебный блок охватывает следующие цели обучения:

• понять, как получить доступ к лаборатории
• запустить и использовать Kubernetes Dashboard
• понять, как выглядит безопасная установка