Het nieuwe Kubesploit is een open source tool om Kubernetes-omgevingen te testen. Het assisteert penetratietesters en Red Teams in het uitvoeren van uitgebreide testen en het nabootsen van een echte aanval om te leren van verschillende scenario’s.
Nu steeds meer organisaties microservices en container-architecturen gebruiken, wordt Kubernetes ook populairder. Uit onderzoek blijkt dat 78 procent van de bedrijven die containers inzetten, hierbij Kubernetes gebruiken voor de aansturing. Deze populariteit trekt ook ongenode gasten.
De meeste beveiligingsmaatregelen rond Kubernetes-clusters richten zich op het passief scannen van kwetsbaarheden. Er is nauwelijks aandacht voor meer complexe aanvalsvectoren. Soms wordt het lek wel zichtbaar gemaakt, maar dan zijn gebruikers niet in staat te ontdekken wat de gevolgen zijn als het lek ook daadwerkelijk gebruikt wordt. Het simuleren van een echte aanval zorgt voor inzicht in de gevolgen door het hele netwerk heen. Het biedt trainingsmogelijkheden die bij het scannen van clusters niet mogelijk zijn, en het geeft het bedrijf de kans om te zien hoe ze in de praktijk omgaan met een echte aanval, mocht het gebeuren, en hoe andere systemen reageren.
Raamwerk voor Kubernetes
Kubesploit vormt samen met twee andere open source tools (KubiScan en kubeetctl) die eerder al door CyberArk Labs zijn ontwikkeld een raamwerk ter ondersteuning van Kubernetes-omgevingen. Het raamwerk is in Golang geschreven, en bouwt voort op het Merlin project (van Russel Van Tuyl), een cross-platform post-exploit HTTP/2 Command & Control server en agent. Merlin biedt gelegenheid om modules toe te voegen, zodat CyberArk Labs in staat is het aanbod uit te breiden zodra wenselijk.
Nieuwe modules worden dynamisch geladen in de agent, terwijl deze lichtgewicht en flexibel blijft. Hiervoor zorgt de toegevoegde Go Interpreter genaamd Yaegi in Kubesploit. Met deze toevoeging is het mogelijk om nieuwe Golang-modules on the fly te schrijven en ze op te starten terwijl de agent nog actief is. Dit maakt het schrijven van complexe code mogelijk. Bovendien is het makkelijker voor de open source community om aan nieuwe modules bij te dragen. Aangezien Kubernetes ook in Golang is geschreven, kunnen gerelateerde stukken code gemakkelijker worden geïntegreerd.
Modules en scenario’s
CyberArk Labs ontwikkelde modules gerelateerd aan aanvalssituaties zoals een break-out van een container naar de host, een kubelet-aanval, het scannen naar bekende kwetsbaarheden in het cluster en scannen van services en poorten. Meer modules staan op de planning.
Kubesploit is vooral bedoeld om het bewustzijn verder te versterken rond security-issues in gecontaineriseerde omgevingen en het verbeteren van de mogelijke tegenmaatregelen. Middels het raamwerk beschikken Red Teams over de juiste tools. Kubesploit is gebaseerd op drie stappen. De eerste stap gaat in op tegenmaatregelen en tips om de gekozen aanvalsmethode beter op te kunnen vangen. De tweede stap betreft YARA regels om malware te ontdekken en binaries gerelateerd aan Kubesploit te ondervangen, zodat het verschil tussen een echte aanval en een penetratietest duidelijk is. De derde stap is de integratie met IoC’s (Indicators of Compromise) binnen de code die de activiteit registreert. Alle instructies die door een server worden verstuurd, worden opgeslagen om later van nut te zijn bij nader onderzoek.
