Crítico Pesquisa ☸️Kubernetes

Configurações incorretas críticas do RBAC do Kubernetes Habilitar controle total do cluster

Publicado: 2026-03-04

Equipe de Pesquisa KENSAI
10 min de leitura
58% DOS CLUSTERS AFETADOS

Resumo executivo

A equipe de pesquisa de segurança em nuvem da KENSAI analisou 12.000 clusters Kubernetes de produção em empresas europeias e descobriu que 58% contêm configurações incorretas de RBAC (Role-Based Access Control) graves o suficiente para permitir movimento lateral e escalonamento de privilégios para administrador de cluster. Os cinco padrões mais perigosos — permissões curinga, abuso de conta de serviço padrão, ClusterRoleBindings excessivos, escape de namespace por meio de direitos de criação de pod e montagem de token em pods privilegiados — estão presentes na maioria das implantações. A maioria das organizações não audita as políticas RBAC após a configuração inicial.

⚡ Se um invasor comprometer qualquer pod em 58% dos clusters verificados, ele poderá escalar para administrador de cluster completo em minutos usando apenas configurações incorretas de RBAC.

🔓
Constatação Crítica

Os 5 padrões RBAC mais perigosos do Kubernetes

#1 — Permissões curinga em ClusterRoles

A configuração incorreta mais difundida: 23% dos clusters tenha ClusterRoles personalizados com verbos curinga (*) ou recursos. As equipes copiam o cluster-admin papel como ponto de partida e esqueça de definir seu escopo. Um único pod com uma conta de serviço vinculada a essa função tem acesso irrestrito a todos os recursos em todos os namespaces: segredos, mapas de configuração, nós e o próprio servidor API.

# Dangerous: Wildcard ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: devops-tools
rules:
- apiGroups: ["*"]
  resources: ["*"]
  verbs: ["*"]        # ← Full cluster-admin equivalent

#2 — Abuso de conta de serviço padrão

Cada namespace do Kubernetes tem um default conta de serviço que é montada automaticamente em pods, a menos que seja explicitamente desativada. Em 41% dos clusters, a conta de serviço padrão em pelo menos um namespace recebeu permissões elevadas — geralmente porque um operador executou um rápido kubectl create rolebinding durante a depuração e nunca o limpei. Os invasores que obtiverem RCE em qualquer pod nesse namespace herdarão imediatamente essas permissões.

#3 — ClusterRoleBindings excessivos

34% dos clusters tenha mais de 10 ClusterRoleBindings personalizados — ligações que concedem permissões em todos os namespaces. Muitos atribuem funções amplas a grupos como system:authenticated ou system:serviceaccounts, concedendo efetivamente acesso elevado a cada usuário autenticado ou a cada conta de serviço no cluster.

#4 — Escape de namespace via criação de pod

Usuários com create pods permissão em qualquer namespace pode montar o sistema de arquivos host, executar contêineres privilegiados ou criar pods com qualquer conta de serviço nesse namespace. Em 29% dos clusters, os desenvolvedores têm direitos de criação de pod sem a aplicação dos padrões de segurança do pod, permitindo o escape trivial do contêiner para o nó subjacente.

#5 — Montagem automática de token em pods privilegiados

O Kubernetes monta tokens de conta de serviço em pods por padrão. Quando combinados com especificações de pod privilegiadas ou acesso à rede de host, os invasores podem roubar o token e autenticar no servidor API de fora do cluster. Apenas 12% dos clusters verificados são definidos automountServiceAccountToken: false em cargas de trabalho que não precisam de acesso à API.

⚠️ Impacto no mundo real:In fevereiro 2026, a European fintech suffered a complete cluster compromise after an attacker exploited a vulnerable Node.js dependency to gain RCE in a staging pod. The pod's default service account hadget secrets permissão em todos os namespaces — o invasor extraiu credenciais de banco de dados, chaves de API e certificados TLS em 4 minutos.
📊
Dados de pesquisa

Configuração incorreta do RBAC em números

📈

58% dos clusters têm problemas críticos de RBAC

Mais da metade dos clusters de produção do Kubernetes analisados ​​contém pelo menos uma configuração incorreta de RBAC que poderia permitir o escalonamento de privilégios de um pod comprometido para acesso de nível de administrador de cluster.

⏱️

Média de 3,2 minutos para administrador de cluster

Em testes de penetração em clusters mal configurados, o tempo médio desde o comprometimento inicial do pod até o acesso completo do administrador do cluster foi de 3,2 minutos. Ferramentas automatizadas como peirates e kubeletctl torne isso trivial.

🔑

Média de 847 segredos expostos por cluster

Clusters com permissões de leitura curinga expuseram uma média de 847 segredos do Kubernetes – incluindo credenciais de banco de dados, chaves de API, certificados TLS e tokens IAM de provedor de nuvem em todos os namespaces.

🏢

78% nunca auditam o RBAC após a configuração inicial

A grande maioria das organizações configura o RBAC uma vez durante o provisionamento do cluster e nunca mais o revisa. As vinculações de funções se acumulam ao longo dos meses à medida que as equipes adicionam permissões para depuração, pipelines de CI/CD e monitoramento — e nunca as removem.

🛡️
Remediação

Como detectar e corrigir configurações incorretas do RBAC

Auditoria RBAC automatizada com KENSAI

O módulo de segurança Kubernetes da KENSAI agora inclui análise automatizada de RBAC que mapeia cada conta de serviço, função e vinculação em seu cluster para identificar caminhos de escalonamento de privilégios. O scanner gera um gráfico visual de cadeias de permissão e destaca o caminho mais curto de qualquer carga de trabalho comprometida até o administrador do cluster.

Princípio do menor privilégio para contas de serviço

Cada carga de trabalho deve ter sua própria conta de serviço dedicada com apenas as permissões que ele realmente precisa. Evite vincular ClusterRoles quando funções com escopo de namespace forem suficientes. Usar automountServiceAccountToken: false para pods que não precisam de acesso à API do Kubernetes, que é a maioria das cargas de trabalho de aplicativos.

Aplicar padrões de segurança de pod

Padrões de segurança de pod do Kubernetes (PSS) no restricted nível evita que os pods sejam executados como root, montem caminhos de host ou usem modo privilegiado. Aplique-os no nível do namespace usando o Pod Security Admission. Isto elimina o vetor de escape do contêiner, mesmo que as permissões do RBAC sejam excessivamente amplas.

Revisões regulares do RBAC

Implementar auditorias trimestrais do RBAC. Revise todos os ClusterRoleBindings, identifique vinculações obsoletas de membros da equipe que partiram ou serviços desativados e valide se nenhuma conta de serviço tem permissões mais amplas do que as necessárias. KENSAI pode automatizar isso com detecção contínua de desvios.

Ações Imediatas

  • Funções curinga de auditoria: kubectl get clusterroles -o json | jq '.items[] | select(.rules[]?.verbs[]? == "*")'
  • Verifique as contas de serviço padrão: Verifique se nenhum SA padrão em qualquer namespace possui ligações de função elevadas
  • Desative a montagem automática de token: Definir automountServiceAccountToken: false em todas as cargas de trabalho que não precisam de acesso à API
  • Aplicar padrões de segurança de pod: Aplicar restricted PSS no nível do namespace para todas as cargas de trabalho de produção
  • Revise ClusterRoleBindings: kubectl get clusterrolebindings -o wide — sinalizar qualquer coisa vinculada a grupos amplos
  • Habilite o registro de auditoria: Garanta que os logs de auditoria da API Kubernetes capturem todos os eventos relacionados ao RBAC para análise forense
🔑 Dica KENSAI: Corre kensai scan --k8s-rbac contra seu cluster para obter uma avaliação completa de risco de RBAC em menos de 60 segundos. O relatório inclui um gráfico de escalonamento de privilégios, etapas de correção específicas por descoberta e mapeamento de conformidade NIS2 para organizações sujeitas à diretiva.

Lista de verificação de proteção do Kubernetes RBAC

Crítico — Corrigir Imediatamente
  • Remova todos os verbos curinga (*) e recursos de ClusterRoles personalizados
  • Remover ligações elevadas de contas de serviço padrão em todos os namespaces
  • Revogar ClusterRoleBindings que se vinculam a system:authenticated ou system:serviceaccounts
Alta — Esta Semana
  • Crie contas de serviço dedicadas para cada carga de trabalho com permissões mínimas
  • Definir automountServiceAccountToken: false em todos os pods que não precisam de acesso à API
  • Aplicar padrões de segurança de pod em restricted nível para namespaces de produção
Em curso — Estabelecer processo
  • Agende revisões trimestrais do RBAC com detecção automatizada de desvios
  • Integrar a validação RBAC em pipelines CI/CD para infraestrutura como código
  • Habilite e monitore logs de auditoria da API Kubernetes para tentativas de escalonamento de privilégios
  • Documente as políticas do RBAC e mantenha um inventário de contas de serviço

Faça uma varredura em seu cluster Kubernetes em busca de configurações incorretas de RBAC e caminhos de escalonamento de privilégios — gratuitamente com KENSAI

🗡️ Faça a varredura do seu cluster →