Statische Pods in Kubernetes werden direkt vom Kubelet Daemon auf jedem Node verwaltet, wodurch die Kubernetes API umgangen wird, was spezifische Sicherheitsrisiken mit sich bringt. Da statische Pods unabhängig von der API arbeiten, könnte ein unbefugter Zugriff auf das Verzeichnis für statische Pods es einem Angreifer ermöglichen, kritische Komponenten des Clusters zu manipulieren, insbesondere innerhalb der Steuerungsebene.
Kontrolle über die Control Plane
Statische Pods, wie die im kube-system namespace (außer CNI-Pods), spielen eine entscheidende Rolle bei der Aufrechterhaltung der Steuerebene des Clusters. Wenn ein Angreifer Schreibzugriff auf das static-pod-Verzeichnis erlangt, könnte er die Kontrollebene kontrollieren, was zu einer vollständigen Kompromittierung des Clusters führen würde.
Angriff auf einen Worker Node
Selbst wenn ein Angreifer nicht den gesamten Cluster übernehmen kann, könnte er durch den Zugriff auf einen Worker Node statische Pods mithilfe des Kubelet erstellen. Dies ermöglicht nicht autorisierte Operationen, wie z. B. die Bereitstellung von Schadsoftware (z. B. Kryptominern) ohne API-Zugang.
Um diese Risiken zu mindern, ist es wichtig, statische Pod Verzeichnisse zu sichern und den Zugriff auf sie zu beschränken.
