通过使用kube-proxy暴露未授权访问的服务或组件,可能会形成外部攻击入口点,从而导致集群被入侵。
(1)攻击场景
使用kubectl proxy命令设置API server接收所有主机的请求。
kubectl --insecure-skip-tls-verify proxy --accept-hosts=^.*$ --address=0.0.0.0 --port=8009
(2)攻击过程
攻击者可通过特定端口访问API Server,可按照API Server未授权访问情况直接接管集群。
