Kubernetes es una plataforma ampliamente adoptada para la gestión de aplicaciones contenerizadas; sin embargo, configuraciones incorrectas en controles de acceso como RBAC y el uso de tokens de cuentas de servicio pueden ser explotados por actores maliciosos. Estas debilidades permiten el acceso no autorizado a recursos en la nube, facilitando el movimiento lateral y el compromiso de infraestructuras críticas.
Descripción técnica
Los atacantes están aprovechando configuraciones permisivas en clusters Kubernetes, especialmente en:
- Asignaciones de roles con privilegios excesivos (RBAC).
- Uso de tokens de cuentas de servicio estáticos.
- Exposición indebida del API Server.
A través de estas debilidades, un atacante que compromete un contenedor puede:
- Extraer tokens de cuentas de servicio montados en el pod.
- Utilizar estos tokens para autenticarse contra el API de Kubernetes.
- Escalar privilegios dentro del cluster.
- Acceder a recursos en la nube asociados (IAM, storage, bases de datos).
Este tipo de ataque permite el movimiento lateral desde entornos contenerizados hacia componentes críticos de la infraestructura.
Impacto
La explotación de estas configuraciones erróneas puede resultar en:
- Acceso no autorizado a recursos del cluster.
- Escalamiento de privilegios.
- Compromiso de cuentas en la nube.
- Exfiltración de información sensible.
- Persistencia dentro del entorno Kubernetes.
Productos afectados
| Producto | Componente | Descripción |
|---|---|---|
| Kubernetes | Tokens de cuenta de servicio y configuración RBAC | Clusters que permiten acceso excesivo mediante tokens estáticos o asignaciones de roles con privilegios elevados |
Solución
- Implementar el principio de mínimo privilegio en RBAC.
- Evitar el uso de tokens estáticos; utilizar tokens proyectados de corta duración.
- Restringir el acceso al API Server (no exponerlo públicamente).
- Revisar y limitar los permisos de cuentas de servicio.
- Deshabilitar el auto-mount de tokens cuando no sea necesario (automountServiceAccountToken: false).
Recomendaciones
- Auditar periódicamente configuraciones RBAC en todos los clusters.
- Monitorear el uso de cuentas de servicio y accesos al API Server.
- Habilitar y centralizar logs de auditoría de Kubernetes en el SIEM.
- Implementar soluciones de seguridad en runtime para contenedores (EDR/K8s security).
- Detectar comportamientos anómalos como:
- Acceso inusual al API Server.
- Uso de tokens desde ubicaciones no habituales.
- Aplicar herramientas de evaluación de seguridad como:
- kube-bench
- kube-hunter
- kubescape