Los permisos por defecto en los clusters de Kubernetes permiten realizar ARP spoofing, que entre otros riesgos deja tomar el control del DNS

Tal y como ha demostrado el analista de seguridad Daniel Sagi, el diseño de red de Kubernetes junto con los permisos por defecto permite a cualquier pod realizar DNS spoofing al resto de pods del cluster. Este tipo de ataques suplantan el servidor DNS para que las máquinas en vez de resolver al dominio deseado realicen la conexión a un servicio controlado por el atacante.

Para su funcionamiento, se aprovecha que Kubernetes concede por defecto el permiso ‘NET_RAW’ (el cual puede comprobarse con el comando ‘pscap -a’) con el que pueden enviarse paquetes ARP y DNS en bruto. Conceder el permiso para paquetes ARP sin restricciones permite realizar ataques ‘SPF Spoofing’, un tipo de ataque con el que engañar el resto de pods para hacerles creer que la IP del atacante es la del DNS del cluster.

LEER MAS: https://unaaldia.hispasec.com/2019/09/dns-spoofing-en-kubernetes.html