具體來說，惡意用戶可以使用 KubernetesAPI 服務器連接到后端服務器以發送任意請求，并通過 API 服務器的 TLS 憑證進行身份驗證。這一安全漏洞的嚴重性更在于它可以遠程執行，攻擊并不復雜，不需要用戶交互或特殊權限。

更糟糕的是，在 Kubernetes 的默認配置中，允許所有用戶（經過身份驗證和未經身份驗證的用戶）執行允許此升級的發現 API 調用。也就是說，任何了解這個漏洞的人都可以掌控你的 Kubernetes 集群。

最后的痛苦之處在于，對于用戶而言，沒有簡單的方法來檢測此漏洞是否已被使用。由于未經授權的請求是通過已建立的連接進行的，因此它們不會出現在 Kubernetes API 服務器審核日志或服務器日志中。請求確實會出現在 kubelet 或聚合的API服務器日志中，但是卻無法與正確通過 Kubernetes API 服務器授權和代理的請求區分開來。

現在，Kubernetes 已經發布了修補版本 v1.10.11、v1.11.5、v1.12.3 和 v1.13.0-rc.1。如果仍在使用 Kubernetes v1.0.x 至 Kubernetes v1.9.x 版本，請即刻停止使用并升級到修補版本。

如果由于某種原因無法進行升級，也必須暫停使用聚合的 API 服務器，并從不應具有對 kubelet API 的完全訪問權限的用戶中刪除 pod exec/attach/portforward 權限。

Kubernetes作為一個分布式集群的管理工具，保證集群的安全性是其一個重要的任務。API Server是集群內部各個組件通信的中介，也是外部控制的入口。所以Kubernetes的安全機制基本就是圍繞保護API Server來設計的。

Kubernetes使用了認證（Authentication）、鑒權（Authorization）、準入控制（Admission Control）三步來保證API Server的安全。

Kubelet 認證

默認情況下，所有未被配置的其他身份驗證?法拒絕的，對kubelet的HTTPS端點的請求將

被視為匿名請求，并被授予system:anonymous?戶名和system:unauthenticated組。

如果要禁?匿名訪問并發送 401 Unauthorized 的未經身份驗證的請求的響應：

啟動kubelet時指定 --anonymous-auth=false

對kubelet HTTPS端點啟?X509客戶端證書身份驗證：

--client-ca-file 提供 CA bundle 以驗證客戶端證書

啟動apiserver時指定--kubelet-client-certificate和--kubelet-client-key標志

Secret

Kubernetes設計了?種資源對象叫做Secret，分為兩類，?種是?于ServiceAccount的

service-account-token

另?種是?于保存?戶?定義保密信息的Opaque。我們在ServiceAccount中?到包含三個

部分：Token、ca.crt、namespace。

token 是使?API Server私鑰簽名的JWT。?于訪問API Server時，Server端認證。

ca.crt ，根證書。?于Client端驗證API Server發送的證書。

namespace , 標識這個service-account-token的作?域名空間。

更詳細參考：https://k8smeetup.github.io/docs/admin/kubelet-authenticationauthorization/

通過kubelet攻擊Kubernetes

通過kubelet默認配置對Kubernetes集群上的API Server發起特權訪，特權訪問有可能會獲取集群中的敏感信息，也可能導致節點上機器命令執?。

API Server提供了對集群各種資源訪問和控制的REST API。

在缺少對TLS身份驗證，?在?些默認配置中啟?了，--anonymous-auth 默認為true

允許匿名身份訪問API,端?為10250

/pods # 列出正在運?中的pod

/exec # 在容器中運?命令并反回信息

這?我從shodan上隨意找的IP進?測試

https://192.168.4.110:10250/pods

獲取信息執?容器中的命令：

CURL請求：

不過有點可惜，較?版本現在已經?不通了。

除了通過curl請求，提供了這樣的?個腳本執?Kubelet Anonymous RCE :

https://github.com/serain/kubelet-anon-rce

幫助?檔例?：

如果能執?命令可以通過:

/var/run/secrets/kubernetes.io/serviceaccount 獲取token

然后訪問kube-api server

測試步驟：

1. 訪問pods獲取信息

2. 獲取namespace、pods、container

3. 執?exec獲取token

4. /var/run/secrets/kubernetes.io/serviceaccount

5. 利?Token訪問API Server進?對pods操作

Kube-Hunter尋找漏洞

使?Kube-hunter尋找Kubernetes集群中的安全漏洞。

會對apiserver、dashboard、etcd、hosts、kubelet、ports、proxy進?測試。

https://github.com/aquasecurity/kube-hunter

通過?些信息判斷，發現匿名身份驗證，可以訪問pods 查看信息。

對外?IP掃描：

Kubelet API | 91.xxx.xxx.x2:10255

Kubelet API | 91.xxx.xxx.x2:10250

API Server | 91.xxx.xxx.x2:6443