Selam dostlar, bugün size oldukça karışık ve güncel bir saldırı senaryosundan bahsetmek istiyorum. Konu sadece basit bir exploit değil, modern cloud ortamlarında birden fazla zayıflığın birleşerek nasıl ciddi bir tehdide dönüştüğünü anlatıyor. Özellikle Kubernetes cluster’larında yanlış yapılandırılmış servis hesapları, container escape teknikleri ve son dönemde popüler olan WebAssembly tabanlı payload’larla işin içine ransomware girdiği zaman işler bayağı ilginçleşiyor.
Öncelikle temel mantık şu: Birçok ekip hâlâ RBAC kurallarını gevşek bırakıyor. ClusterRoleBinding ile “*” yetkisi verilmiş servis hesapları bulmak hiç zor değil. Saldırgan bu hesabı ele geçirince kubelet API’sine doğrudan bağlanabiliyor ve node’lar üzerinde istediği container’ı çalıştırabiliyor. Buradan sonra iş container escape’e bağlanıyor. Özellikle cgroup v1 kullanan eski kernel’larda bulunan CVE-2022-0185 gibi açıklar hâlâ bazı ortamlarda duruyor.
Bu pod çalıştıktan sonra saldırgan node’un root dosya sistemine erişebiliyor. Bundan sonrası ise daha sinsi kısım. Normal ELF binary yerine WebAssembly modülü kullanarak tespit edilme ihtimalini düşürüyorlar. Çünkü WASM sandbox’ı sayesinde process injection teknikleri farklı görünüyor ve çoğu EDR çözümü hâlâ WASM payload’larını tam olarak imzalamıyor.
Terminal çıktısına bakarsak işler şöyle ilerliyor:
Son aşamada cluster içindeki diğer workload’lara bulaşmak için WASM tabanlı küçük bir loader kullanılıyor. Bu loader, node’lar arasında hızlı yayılmak için Kubernetes DNS’ini ve etcd’yi hedef alıyor. İşin en tehlikeli yanı ise bu yöntemin loglarda neredeyse normal bir container işlemi gibi görünmesi.
Kısaca özetlersek, tek bir yanlış RBAC ayarı + eski kernel + WASM tabanlı gizli payload üçlüsü, normal bir ortamı dakikalar içinde ele geçirebiliyor. Eğer kendi cluster’larınızda RBAC kurallarını düzenli kontrol etmiyorsanız, bu tarz zincirlerin gerçek hayatta ne kadar hızlı olabileceğini tahmin edebilirsiniz. Dikkatli olun, bu işler hiç de göründüğü kadar basit değil.
Öncelikle temel mantık şu: Birçok ekip hâlâ RBAC kurallarını gevşek bırakıyor. ClusterRoleBinding ile “*” yetkisi verilmiş servis hesapları bulmak hiç zor değil. Saldırgan bu hesabı ele geçirince kubelet API’sine doğrudan bağlanabiliyor ve node’lar üzerinde istediği container’ı çalıştırabiliyor. Buradan sonra iş container escape’e bağlanıyor. Özellikle cgroup v1 kullanan eski kernel’larda bulunan CVE-2022-0185 gibi açıklar hâlâ bazı ortamlarda duruyor.
Hidden content - for more
Konuyu Görebilmeniz için "Beğenmeniz ve Yorum yapmaniz" Gerekir.
Terminal çıktısına bakarsak işler şöyle ilerliyor:
Hidden content - for more
Konuyu Görebilmeniz için "Beğenmeniz ve Yorum yapmaniz" Gerekir.
Kısaca özetlersek, tek bir yanlış RBAC ayarı + eski kernel + WASM tabanlı gizli payload üçlüsü, normal bir ortamı dakikalar içinde ele geçirebiliyor. Eğer kendi cluster’larınızda RBAC kurallarını düzenli kontrol etmiyorsanız, bu tarz zincirlerin gerçek hayatta ne kadar hızlı olabileceğini tahmin edebilirsiniz. Dikkatli olun, bu işler hiç de göründüğü kadar basit değil.
Bu içeriği görmek için giriş yapın.