Esta página foi traduzida pela API Cloud Translation.

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Para aumentar o privilégio, um ator potencialmente malicioso consultou um pedido de assinatura de certificado (CSR) com o comando kubectl, usando credenciais de arranque comprometidas.

Segue-se um exemplo de um comando que esta regra deteta:

kubectl --client-certificate kubelet.crt --client-key kubelet.key --server YOUR_SERVER get csr CSR_NAME

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

Abra a Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsdescoberta conforme indicado em Rever descobertas. O painel de detalhes da deteção é aberto no separador Resumo.
No separador Resumo, reveja as informações nas seguintes secções:
- O que foi detetado, especialmente os seguintes campos:
  - Email principal: a conta que fez a chamada.
  - Nome do método: o método que foi chamado.
- Em Recurso afetado:
  - Nome a apresentar do recurso: o cluster do Kubernetes onde a ação ocorreu.
- Links relacionados, especialmente os seguintes campos:
  - URI do Cloud Logging: link para as entradas do Logging.
  - Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
  - Resultados relacionados: links para resultados relacionados.

Passo 2: verifique os registos

Se o nome do método, que anotou no campo Nome do método nos detalhes da descoberta, for um método GET, faça o seguinte:

No separador Resumo dos detalhes da descoberta na Google Cloud consola, aceda ao Explorador de registos clicando no link no campo URI do Cloud Logging.
Verifique o valor no campo protoPayload.resourceName para identificar o pedido de assinatura de certificado específico.

Passo 3: pesquise métodos de ataque e resposta

Reveja as entradas da framework MITRE ATT&CK para este tipo de descoberta: Aumento de privilégios.
Se o CSR específico estiver disponível na entrada do registo, investigue a sensibilidade do certificado e se a ação foi justificada.
Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

O que se segue?

Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
Consulte o índice de resultados de ameaças.
Saiba como rever uma descoberta através da Google Cloud consola.
Saiba mais sobre os serviços que geram resultados de ameaças.