Élévation des privilèges : modifications apportées à des objets Kubernetes RBAC sensibles

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Pour effectuer une élévation de droits, une personne potentiellement malveillante a tenté de modifier un objet RBAC (contrôle des accès basé sur les rôles) ClusterRole, RoleBinding ou ClusterRoleBinding du rôle sensible cluster-admin à l'aide d'une requête PUT ou PATCH.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examiner les résultats détaillés

  1. Ouvrez le résultat Privilege Escalation: Changes to sensitive Kubernetes RBAC objects comme indiqué dans Examiner les résultats. Le panneau des détails du résultat s'ouvre dans l'onglet Résumé.

  2. Dans l'onglet Résumé, examinez les informations des sections suivantes :

    • Risque détecté, en particulier les champs suivants :
      • Adresse e-mail du compte principal : compte qui a effectué l'appel.
      • Nom de la méthode : méthode appelée.
      • Liaisons Kubernetes : liaison Kubernetes sensible ou ClusterRoleBinding qui a été modifiée.
    • Ressource concernée, en particulier les champs suivants :
      • Nom à afficher de la ressource : cluster Kubernetes où l'action a eu lieu.
    • Liens associés, en particulier les champs suivants :
      • URI Cloud Logging : lien vers les entrées Logging.
      • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
      • Résultats associés : liens vers les éventuels résultats associés.

  3. Dans la section Problème détecté, cliquez sur le nom de la liaison sur la ligne Liaisons Kubernetes. Les détails de la liaison s'affichent.

  4. Notez les détails de la liaison dans la liaison affichée.

Étape 2 : Vérifier les journaux

  1. Dans l'onglet Résumé des détails du résultat dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien dans le champ URI Cloud Logging.

  2. Si la valeur dans Nom de la méthode était une méthode PATCH, vérifiez le corps de la requête pour voir quelles propriétés ont été modifiées.

    Dans les appels update (PUT), l'objet entier est envoyé dans la requête, de sorte que les modifications ne sont pas aussi claires.

  3. Vérifiez les autres actions effectuées par le compte principal à l'aide des filtres suivants :

    • resource.labels.cluster_name="CLUSTER_NAME"

    • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

      Remplacez les éléments suivants :

    • CLUSTER_NAME : valeur que vous avez notée dans le champ Nom à afficher pour la ressource des détails du résultat.

    • PRINCIPAL_EMAIL : valeur que vous avez notée dans le champ Adresse e-mail du compte principal des résultats détaillés.

Étape 3 : Rechercher des méthodes d'attaque et de réponse

  1. Examinez les entrées du framework MITRE ATT&CK pour ce type de résultat : Élévation des privilèges.
  2. Vérifiez le degré de sensibilité de l’objet et assurez-vous que la modification est justifiée.
  3. Pour les liaisons, vous pouvez vérifier le sujet et déterminer s'il a besoin du rôle auquel il est lié.
  4. Déterminez s'il existe d'autres signes d'activité malveillante de la part du compte principal dans les journaux.

  5. Si l'adresse e-mail du compte principal n'est pas un compte de service, contactez le propriétaire du compte pour confirmer que ce propriétaire légitime est bien à l'origine de l'action.

    Si l'adresse e-mail du compte principal est un compte de service (IAM ou Kubernetes), identifiez la source de la modification pour déterminer sa légitimité.

  6. Pour élaborer votre plan de réponse, combinez les résultats de votre enquête aux recherches de MITRE.

Étapes suivantes