Elevación de privilegios: Creación de una CSR de Kubernetes para el certificado principal

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Para derivar privilegios, un agente potencialmente malicioso creó una solicitud de firma de certificado (CSR) de instancia principal de Kubernetes, lo que le da acceso de cluster-admin.

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

1. Abre el hallazgo de Privilege Escalation: Create Kubernetes CSR for master cert como se indica en Revisa los hallazgos. Se abre el panel de detalles del hallazgo en la pestaña Resumen.

2. En la pestaña Resumen, revisa la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:
     • Correo electrónico principal: Es la cuenta que realizó la llamada.
     • Nombre del método: Es el método al que se llamó.
   • Recurso afectado, en especial los siguientes campos:
     • Nombre visible del recurso: Es el clúster de Kubernetes en el que se produjo la acción.
   • Vínculos relacionados, en especial los siguientes campos:
     • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
     • Método MITRE ATT&CK: Vínculo a la documentación de MITRE ATT&CK.
     • Resultados relacionados: Vínculos a los resultados relacionados

Paso 2: Comprueba los registros

1. En la pestaña Resumen de los detalles del hallazgo en la consola de Google Cloud , haz clic en el vínculo del campo URI de Cloud Logging para ir al Explorador de registros.
2. Verifica el valor en el campo protoPayload.resourceName para identificar la solicitud de firma de certificado específica.

3. Verifica otras acciones que realizó el principal con los siguientes filtros:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Reemplaza lo siguiente:

   • CLUSTER_NAME: Es el valor que anotaste en el campo Nombre visible del recurso en los detalles del hallazgo.

   • PRINCIPAL_EMAIL: El valor que anotaste en el campo Correo electrónico del principal en los detalles del hallazgo.

Paso 3: Investiga los métodos de ataque y respuesta

1. Revisa las entradas del framework de MITRE ATT&CK para este tipo de resultado: Elevación de privilegios.
2. Investiga si se justificaba otorgar acceso a cluster-admin.

3. Si el correo electrónico principal no es una cuenta de servicio, comunícate con el propietario de la cuenta para confirmar si el propietario legítimo realizó la acción.

   Si el correo electrónico principal es una cuenta de servicio (IAM o Kubernetes), identifica el origen de la acción para determinar su legitimidad.

4. Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.

¿Qué sigue?

• Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de resultados de amenazas.
• Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
• Obtén más información sobre los servicios que generan hallazgos de amenazas.