Compreendendo as Ameaças Atuais em Ambientes Kubernetes

A Unit 42 documentou um aumento de 282% ano a ano nas operações de roubo de tokens Kubernetes, com organizações do setor de TI respondendo por 78% da atividade observada. Este cenário é impulsionado por dois padrões de ataque convergentes: o grupo Slow Pisces (Lazarus), que abusa de tokens de contas de serviço CI/CD com privilégios excessivos para pivotar de clusters de produção para a infraestrutura financeira de exchanges de criptomoedas; e a exploração de CVE-2025-55182 (React2Shell), que começa em até 48 horas após a divulgação para obter RCE (Execução Remota de Código) em workloads Kubernetes via desserialização insegura do protocolo RSC Flight.

Ambos os casos convergem para o mesmo workflow pós-exploração: enumerar o ambiente de runtime, extrair o token de conta de serviço montado em /var/run/secrets/kubernetes.io/serviceaccount/token, testar o escopo do RBAC e, por fim, pivotar para a conta de nuvem hospedeira. A principal constatação do relatório para a liderança de segurança é que a identidade Kubernetes se tornou a camada de pivô entre o comprometimento de contêineres e a violação em nível de nuvem, enfatizando que o escopo do RBAC, tokens projetados de curta duração e a visibilidade do log de auditoria da API representam a postura defensiva mínima viável.