每周云安全动态推送(2024.8.19-2024.8.25）

喵苗安全新专栏，每周更新awesome-cloud-native-security知识库的新内容，全部内容点击文末"阅读原文"~

🔍 开源工具

• kubernetes-rbac-audit：一款可以扫描Kubernetes RBAC以寻找有风险的角色的 Python 工具。

• Netfetch工具可以扫描 Kubernetes 集群以识别没有网络策略的 Pod，支持 Kubernetes 和 Cilium 网络策略。它也提供了可视化DashBoard来可以交互式更改网络策略和 Pod，在缺少策略的地方创建默认拒绝网络策略，并根据现有工作负载提供建议。

• KubeHound是一款用于动态分析Kubernetes集群安全风险的工具，通过计算集群中各类资源配置与访问关系绘制潜在的攻击路径。KubeHound的优点在于使用图数据库，数据成果以集群资源为顶点(Vertex)，以攻击类型为边(Edge)，使用Gremlin数据库查询语言搜索攻击链路。
• 作者Jeremy Fox在SO-CON 2024会议上对该工具的分享：https://youtu.be/pdCcJ-Kenf8?si=JyFUtRfJfFU2cDAP
• 可以参考安易科技的使用案例：

📚 动态文档

• 在HackTricks Cloud可以找到所有与CI/CD（持续集成/交付）和云相关的黑客技巧、技术等内容。这些内容是作者@ppiernacho在CTF、现实环境、研究工作以及阅读研究报告和新闻学到的。

• Rhino Security Labs是一家顶级的渗透测试和安全评估公司，专注于云渗透测试（包括AWS、GCP、Azure）、网络渗透测试、Web应用程序渗透测试以及钓鱼攻击测试等。

• 阿里云官方的 OSS 管理工具和社区开发的第三方工具和插件。若AK（Access Key）/SK（Secret Key）泄露了，可以使用这些工具进行托管。

📑演示文稿

• 作者Seth Art分享了在AWS环境下，攻击者通常如何突破云环境以及后期利用的方式。在大多数情况下，攻击者获得初步访问云环境的方式有三种：突破了云中的一个易受攻击的应用程序或服务、一个配置错误的云资源，或者一个具有云访问权限的用户。这是来自DEFCON 32会议的云安全专题众多议题中的一个分享：https://dc32.cloud-village.org/

📜 静态文档

• 是来自字节跳动技术团队的文章。文章首先介绍了Kubernetes的认证与授权体系以及RBAC授权原理,然后通过实际案例展示RBAC管理不当可能导致的安全风险，并分享RBAC安全研发与运维的最佳实践，以及在字节跳动内部的安全防护和治理经验。

• 这篇文章由Palo Alto Networks的Unit 42研究团队撰写，揭露了一个针对云环境的大规模勒索攻击。攻击者利用泄露的环境变量来访问敏感信息，并要求受害者支付赎金以避免数据泄露或服务中断。文章强调了安全配置云环境的重要性，建议企业定期审查和监控云基础设施的安全措施，包括访问控制和日志记录，以预防此类勒索攻击。文章还指出云安全漏洞是网络犯罪分子的一个主要攻击目标。

• Kubernetes安全基础——Authorization授权。来自Rory McCune发布在datadog的文章，这是他"Kubernetes安全基础"系列的第四篇文章。前三篇分别是Kubernetes安全基础简介、Kubernetes API安全、Kubernetes认证；可以从第一篇开始阅读学习。在youtube上也有他的分享。

• 这篇文章探讨了在Kubernetes环境中正确执行威胁建模所需的方面和注意事项。分析了与Kubernetes环境相关的安全风险，介绍了各种攻击面，例如API服务器、节点、控制平面组件等，并讨论了潜在的攻击手法和威胁场景。此外，还提供了一些最佳实践和防护策略，以帮助用户更好地保护Kubernetes集群。

• Kanister工具存在严重漏洞CVE-2024-43403，攻击者可利用该漏洞获取对Kubernetes集群的完全控制。Kanister是一个数据保护工作流管理工具。Kanister有一个名为default-kanister-operator的部署，它与一个名为edit的ClusterRole通过ClusterRoleBinding绑定。该“edit”ClusterRole是Kubernetes默认创建的ClusterRole之一，它具有对daemonset资源的创建/修补/更新操作权限，对serviceaccount/token资源的创建权限以及对serviceaccounts资源的模拟权限。恶意用户可以利用访问拥有此组件的工作节点来进行集群级别的权限提升。目前尚未记录受影响的产品的具体版本，需要进一步跟踪。