Apropiación de privilegios: carga de trabajo con shareProcessNamespace habilitado

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Alguien ha desplegado una carga de trabajo con la opción shareProcessNamespace definida como true, lo que permite que todos los contenedores compartan el mismo espacio de nombres de procesos de Linux. Esto podría permitir que un contenedor no fiable o vulnerado eleve sus privilegios accediendo y controlando variables de entorno, memoria y otros datos sensibles de procesos que se ejecutan en otros contenedores. Algunas cargas de trabajo pueden requerir esta función para operar por motivos legítimos, como contenedores sidecar de gestión de registros o contenedores de depuración. Para obtener más información, consulta el mensaje de registro de esta alerta.

Cómo responder

Para responder a esta observación, sigue estos pasos:

  1. Confirma que la carga de trabajo realmente necesita acceder a un espacio de nombres de proceso compartido para todos los contenedores de la carga de trabajo.
  2. Comprueba si hay otros signos de actividad maliciosa por parte de la entidad de seguridad en los registros de auditoría de Cloud Logging.
  3. Si la cuenta principal no es una cuenta de servicio (IAM o Kubernetes), ponte en contacto con el propietario de la cuenta para confirmar si ha realizado la acción.
  4. Si la cuenta principal es una cuenta de servicio (de gestión de identidades y accesos o de Kubernetes), identifica la legitimidad de lo que ha provocado que la cuenta de servicio realice esta acción.

Siguientes pasos