Команди адміністрування контейнерів

T1609: КОМАНДИ АДМІНІСТРУВАННЯ КОНТЕЙНЕРІВ

Зловмисники зловживають сервісами управління контейнерами для виконання команд усередині середовища. Використовуючи Docker daemon, API-сервер Kubernetes або kubelet, вони можуть дистанційно запускати скрипти в існуючих контейнерах або задавати шкідливі точки входу (entrypoints) під час розгортання нових. Це дозволяє виконувати код безпосередньо в ізольованому середовищі, оминаючи стандартні засоби автентифікації ОС хоста.

ТЕХНІЧНИЙ ОПИС

Зловмисники можуть зловживати службою адміністрування контейнерів для виконання команд усередині контейнера. Такі служби, як Docker daemon, Kubernetes API server або kubelet, можуть дозволяти віддалене керування контейнерами в межах середовища.

У Docker зловмисники можуть вказати точку входу (entrypoint) під час розгортання контейнера, яка виконує сценарій або команду, або вони можуть використовувати таку команду, як docker exec, для виконання команди всередині вже запущеного контейнера.

У Kubernetes, якщо зловмисник має достатні дозволи, він може отримати можливість віддаленого виконання коду в контейнері всередині кластера шляхом взаємодії з API-сервером Kubernetes, kubelet або шляхом запуску такої команди, як kubectl exec.

UKR_ADVISORY

Атаки на неправильно налаштовані (exposed) порти Docker (2375/2376) або Kubernetes Dashboard у мережах українських компаній. Зловмисники використовують команду kubectl exec для отримання доступу до термінала всередині контейнера, що дозволяє їм викрадати секрети (API-ключі, паролі до БД) або сканувати внутрішню мережу кластера, яка зазвичай не захищена так ретельно, як зовнішній периметр.