เจาะลึกความเสี่ยง: เมื่อ Kubernetes คลัสเตอร์ถูกตั้งค่าผิดพลาด
การจัดการระบบคลาวด์ยุคใหม่ โดยเฉพาะอย่างยิ่ง Kubernetes ถือเป็นหัวใจสำคัญที่ขับเคลื่อนแอปพลิเคชันจำนวนมาก การตั้งค่าที่เหมาะสมและปลอดภัยจึงเป็นเรื่องที่มองข้ามไม่ได้ เพราะเพียงแค่ความผิดพลาดเล็กน้อย อาจเปิดประตูให้ผู้ไม่หวังดีเข้าถึงระบบทั้งหมดได้ บทความนี้จะพาไปสำรวจเส้นทางที่แฮกเกอร์ใช้ในการเจาะระบบ Kubernetes ที่มีการตั้งค่าผิดพลาด ตั้งแต่การสำรวจเบื้องต้นไปจนถึงการยกระดับสิทธิ์เข้าควบคุมระบบอย่างสมบูรณ์
การสำรวจเบื้องต้นเพื่อหาช่องโหว่
ทุกการโจมตีเริ่มต้นด้วยการ สอดแนม เพื่อหาจุดอ่อน เครื่องมืออย่าง Nmap จะช่วยให้เห็นพอร์ตที่เปิดอยู่ เช่น พอร์ต 22 สำหรับ SSH, พอร์ต 80 สำหรับเว็บเซิร์ฟเวอร์ และที่น่าสนใจคือพอร์ต 6443 ซึ่งมักจะเป็นที่อยู่ของ Kubernetes API server การรู้ว่าพอร์ตเหล่านี้เปิดอยู่ บ่งบอกถึงบริการที่ทำงานอยู่เบื้องหลัง
นอกจากการสแกนพอร์ตแล้ว การสำรวจหาไดเรกทอรีที่ซ่อนอยู่บนเว็บเซิร์ฟเวอร์ก็เป็นสิ่งจำเป็น เครื่องมืออย่าง Gobuster สามารถช่วยค้นหาเส้นทางต่างๆ เช่น /secret, /admin หรือ /server-status ซึ่งอาจให้ข้อมูลสำคัญเกี่ยวกับโครงสร้างของเซิร์ฟเวอร์ การค้นพบข้อมูลเหล่านี้เป็นก้าวแรกที่สำคัญในการทำความเข้าใจสภาพแวดล้อมของเป้าหมาย
เจาะลึกสู่หัวใจคลัสเตอร์ Kubernetes
เมื่อรู้ว่ามี Kubernetes API server ทำงานอยู่ ความพยายามในการเข้าถึงข้อมูลการตั้งค่าจึงเริ่มต้นขึ้น การค้นหาไฟล์ .kube/config ซึ่งมักจะอยู่ในโฮมไดเรกทอรีของผู้ใช้งาน ถือเป็นเป้าหมายหลัก ไฟล์นี้บรรจุข้อมูลสำคัญที่ใช้ในการเชื่อมต่อและจัดการคลัสเตอร์ Kubernetes เช่น ข้อมูลผู้ใช้, คอนเท็กซ์ (context) และโทเค็นสำหรับการยืนยันตัวตน
เมื่อได้ไฟล์ kubeconfig มา การใช้เครื่องมือ kubectl ซึ่งเป็น Command-Line Interface (CLI) สำหรับ Kubernetes จะทำให้สามารถโต้ตอบกับคลัสเตอร์ได้ทันที ไม่ว่าจะเป็นการดูรายการ Pods, Service Accounts, Roles หรือ RoleBindings ข้อมูลเหล่านี้ช่วยให้เห็นภาพรวมของทรัพยากรและการอนุญาตต่างๆ ภายในคลัสเตอร์ ซึ่งเป็นสิ่งสำคัญในการวางแผนยกระดับสิทธิ์
ยกระดับสิทธิ์สู่การควบคุมสูงสุด
ในโลกของ Kubernetes การยกระดับสิทธิ์มักจะเกี่ยวข้องกับการค้นหา Service Accounts ที่มีสิทธิ์มากเกินไป หรือมีการผูกกับ Roles ที่มีอำนาจสูง ในกรณีที่พบ Service Account ที่ผูกกับ Role ที่ให้สิทธิ์ระดับ cluster-admin นั่นหมายถึงชัยชนะอันยิ่งใหญ่
การดึง โทเค็น (token) สำหรับ Service Account ที่มีสิทธิ์สูงออกมาจาก Secret ที่เกี่ยวข้อง เป็นขั้นตอนสำคัญที่ตามมา โทเค็นนี้เปรียบเสมือนกุญแจที่ไขเข้าสู่ระบบ ด้วยโทเค็นนี้ ผู้โจมตีจะสามารถปลอมตัวเป็น Service Account นั้นๆ และเข้าควบคุมคลัสเตอร์ได้อย่างสมบูรณ์ โดยสามารถเรียกใช้คำสั่ง kubectl เพื่อบริหารจัดการทรัพยากรทุกอย่างในคลัสเตอร์ ไม่ว่าจะเป็นการสร้าง, แก้ไข หรือลบทรัพยากรใดๆ
เข้าควบคุมและเก็บกู้ข้อมูลสำคัญ
เมื่อได้สิทธิ์ระดับ cluster-admin แล้ว การเข้าถึงข้อมูลภายใน Pods หรือแม้แต่โฮสต์แม่ก็เป็นไปได้ การใช้คำสั่ง kubectl exec เพื่อรันคำสั่งภายใน Pods จะทำให้สามารถสำรวจไฟล์ระบบ หาข้อมูลสำคัญ หรือแม้แต่ค้นหา SSH keys ที่อาจถูกเก็บไว้ใน Pods โดยไม่ได้ตั้งใจ
การพบ SSH key ที่เก็บอยู่ใน Pod ถือเป็นกุญแจสำคัญสู่การควบคุมระดับที่ลึกกว่า เพราะ SSH key สามารถใช้เพื่อเข้าสู่ระบบ SSH ของเครื่องโฮสต์หลัก (Node) ที่รันคลัสเตอร์ Kubernetes นั้นๆ ได้โดยตรง ซึ่งหมายถึงการได้สิทธิ์ root access บนเครื่องโฮสต์เหล่านั้น นั่นเท่ากับว่าการควบคุมระบบสมบูรณ์แบบทั้งภายในคลัสเตอร์และบนโครงสร้างพื้นฐานที่รองรับ
ความผิดพลาดในการตั้งค่าเพียงครั้งเดียว ทั้งการทิ้งไฟล์ kubeconfig ที่มีสิทธิ์สูง หรือการกำหนดสิทธิ์ Service Account ที่มากเกินไป สามารถนำไปสู่ความเสียหายร้ายแรงได้ การตรวจสอบและยืนยันการตั้งค่าความปลอดภัยของ Kubernetes อย่างสม่ำเสมอจึงไม่ใช่แค่ทางเลือก แต่เป็นสิ่งจำเป็นอย่างยิ่งยวด เพื่อปกป้องระบบจากภัยคุกคามที่อาจเกิดขึ้นได้ทุกเมื่อ