Elevación de privilegios: Lanzamiento de un contenedor Kubernetes privilegiado

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Un agente potencialmente malicioso creó un Pod que tiene contenedores con privilegios o contenedores con capacidades de elevación de privilegios.

Un contenedor con privilegios tiene el campo privileged configurado como true. Un contenedor con capacidades de elevación de privilegios tiene el campo allowPrivilegeEscalation configurado como true. Para obtener más información, consulta la referencia de la API principal de SecurityContext v1 en la documentación de Kubernetes.

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

  1. Abre el hallazgo de Privilege Escalation: Launch of privileged Kubernetes container como se indica en Revisa los hallazgos. Se abre el panel de detalles para el hallazgo en la pestaña Resumen.

  2. En la pestaña Resumen, revisa la información de las siguientes secciones:

    • Qué se detectó, especialmente los siguientes campos:
      • Correo electrónico principal: Es la cuenta que realizó la llamada.
      • Pods de Kubernetes: Es el Pod recién creado con contenedores con privilegios.
    • Recurso afectado, en especial los siguientes campos:
      • Nombre visible del recurso: Es el clúster de Kubernetes en el que se produjo la acción.
    • Vínculos relacionados, en especial los siguientes campos:
      • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
      • Método MITRE ATT&CK: Vínculo a la documentación de MITRE ATT&CK.
      • Resultados relacionados: Vínculos a los resultados relacionados

  3. En la pestaña JSON, anota los valores de los campos del hallazgo:

    • findings.kubernetes.pods[].containers: Es el contenedor con privilegios que se detectó dentro del Pod.

Paso 2: Comprueba los registros

  1. En la pestaña Resumen de los detalles del hallazgo en la consola de Google Cloud , haz clic en el vínculo del campo URI de Cloud Logging para ir al Explorador de registros.

  2. Verifica otras acciones que realizó el principal con los siguientes filtros:

    • resource.labels.cluster_name="CLUSTER_NAME"

    • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

      Reemplaza lo siguiente:

    • CLUSTER_NAME: Es el valor que anotaste en el campo Nombre visible del recurso en los detalles del hallazgo.

    • PRINCIPAL_EMAIL: El valor que anotaste en el campo Correo electrónico del principal en los detalles del hallazgo.

Paso 3: Investiga los métodos de ataque y respuesta

  1. Revisa las entradas del framework de MITRE ATT&CK para este tipo de resultado: Elevación de privilegios.
  2. Confirma que el contenedor que se creó requiere acceso a los recursos del host y a las capacidades del kernel.
  3. Determina si hay otros indicios de actividad maliciosa por parte de la principal en los registros.

  4. Si el correo electrónico principal no es una cuenta de servicio, comunícate con el propietario de la cuenta para confirmar si el propietario legítimo realizó la acción.

    Si el correo electrónico principal es una cuenta de servicio (IAM o Kubernetes), identifica el origen de la acción para determinar su legitimidad.

  5. Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.

¿Qué sigue?