hacktricks-cloud/src/pentesting-cloud/openshift-pentesting/openshift-privilege-escalation/openshift-missing-service-account.md

OpenShift - Missing Service Account

Missing Service Account

クラスターが事前に設定されたテンプレートでデプロイされ、まだ作成されていないサービスアカウントに対して自動的にRoles、RoleBindings、さらにはSCCが設定されることがあります。これにより、これらを作成できる場合に特権昇格が発生する可能性があります。この場合、新しく作成されたSAのトークンと関連するロールまたはSCCを取得できるようになります。同様のケースは、欠落しているSAが欠落しているプロジェクトの一部である場合にも発生します。この場合、プロジェクトを作成し、その後SAを作成できれば、関連するRolesとSCCを取得できます。

前のグラフでは、Roles BindingsやSCCに表示されるがまだクラスターに作成されていない複数のAbsentProjectを示しています。同様に、AbsentServiceAccountもあります。

プロジェクトとその中の欠落しているSAを作成できる場合、SAはAbsentServiceAccountをターゲットにしていたRoleまたはSCCを継承します。これにより、特権昇格が発生する可能性があります。

以下の例は、node-exporter SCCが付与された欠落しているSAを示しています：

Tools

この問題を列挙し、一般的にOpenShiftクラスターをグラフ化するために使用できるツールは次のとおりです：

{{#ref}} https://github.com/maxDcb/OpenShiftGrapher {{#endref}}