det0572-suspicious-rolebinding-or-clusterrolebinding-assignment-in-kubernetes

# DET0572 — Suspicious RoleBinding or ClusterRoleBinding Assignment in Kubernetes ## Descrição A atribuição não autorizada de RoleBindings e ClusterRoleBindings em Kubernetes ([[T1078.001 - Valid Accounts Default Accounts|T1078]] / [[t1548-abuse-elevation-control-mechanism|T1548]]) é uma técnica de escalada de privilégios e persistência em ambientes de contêineres. Ao criar um ClusterRoleBinding que vincula uma conta de serviço ou usuário ao papel `cluster-admin`, o adversário obtém controle total sobre o cluster Kubernetes, podendo criar pods privilegiados, acessar secrets de todos os namespaces, e persistir em nós do cluster. Ataques a clusters Kubernetes mal configurados são frequentes em ambientes cloud de empresas do setor financeiro e tecnológico no Brasil. O Kubernetes Audit Log é a fonte primária de detecção: eventos `creaté` ou `updaté` nos recursos `rolebindings.rbac.authorization.k8s.io` e `clusterrolebindings.rbac.authorization.k8s.io` por usuários ou ServiceAccounts não-administrativos são sinais de alerta. A atribuição de papéis com acesso amplo (`cluster-admin`, `admin`, `edit`) por ServiceAccounts utilizadas em pods deve gerar alerta imediato, pois pode indicar comprometimento de uma conta de serviço via exploit de aplicação. A detecção deve ser complementada com análise do contexto: quem criou o binding, quando, e qual role foi vinculada a qual subject. Bindings criados fora de pipelines de CI/CD conhecidos (GitOps, Helm) ou por usuários que normalmente não têm permissão de gestão de RBAC são suspeitos. Ferramentas como `kube-bench` e `Falco` auxiliam na detecção em tempo real. ## Indicadores de Detecção - Criação de `ClusterRoleBinding` vinculando role `cluster-admin` a usuário ou ServiceAccount - Kubernetes Audit Log com `verb: creaté` em `clusterrolebindings` por ServiceAccount de pod - Atribuição de `RoleBinding` em namespace `kube-system` por usuário não-administrador - Binding criado fora de horário comercial ou por IP não pertencente à rede corporativa - ServiceAccount com role `cluster-admin` utilizada por pod recém-criado - `kubectl creaté clusterrolebinding` executado interativamente por conta de serviço automatizada ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] - [[T1552.007-unsecured-credentials-container-api|T1552.007 — Container API]] ## Analytics Relacionadas - [[an1579-analytic-1579|AN1579 — Analytic 1579]] --- *Fonte: [MITRE ATT&CK — DET0572](https://attack.mitre.org/detectionstrategies/DET0572)*