kube-hunter
Overview
kube-hunter, c'est l'outil de pentesting développé par Aqua Security qui pense que vérifier la sécurité de ton cluster Kubernetes uniquement avec des audits statiques, c'est insuffisant. Il scanne activement ton cluster pour identifier des vulnérabilités exploitables, teste les misconfigurations, et peut même exploiter les failles découvertes (en mode hunter). Si tu veux savoir si ton cluster est réellement sécurisé face à un attaquant, c'est indispensable.
kube-hunter fonctionne en modes passif (scan uniquement) ou actif (exploitation). Il teste les APIs Kubernetes exposées, les services mal configurés, les RBAC insuffisants, et les vulnérabilités connues. Discovery automatique via réseau ou remote scanning, exploitation de failles réelles avec PoC, reporting détaillé avec severity.
kube-hunter se distingue par son approche offensive (vrai pentesting), sa capacité d'exploitation active, et sa découverte de vulnérabilités que les outils d'audit statiques ratent souvent.
Informations essentielles
| Propriété | Valeur |
|---|---|
| Site officiel | https://github.com/aquasecurity/kube-hunter |
| Repository | https://github.com/aquasecurity/kube-hunter |
| Licence | Apache 2.0 |
| Développeur | Aqua Security |
| Langage | Python |
| Mode | Passif / Actif (Hunter) |
Cas d'usage typiques
- Penetration testing de clusters Kubernetes avant mise en production
- Red team exercises pour tester la détection et response équipes sécurité
- Validation de la posture sécurité après hardening ou patches
- Assessment de sécurité pour audits externes ou compliance
- Discovery de vulnérabilités exploitables vs théoriques seulement
- Testing de la surface d'attaque depuis différentes positions (internal/external)
Intégrations et écosystème
- Scanning modes : local (inside cluster), remote (external), interface discovery
- Output : JSON, YAML pour intégration avec outils SIEM/reporting
- CI/CD : intégration dans pipelines pour security gates (attention mode actif)
- Cloud : testing de managed Kubernetes services (EKS, GKE, AKS)
- CVE databases : checks des vulnérabilités connues K8s et composants
- Network : discovery automatique via subnet scanning
Avantages
- ✅ Offensive testing : vrai pentesting avec exploitation, pas juste compliance check
- ✅ Active exploitation : prouve la réelle exploitabilité des vulnérabilités
- ✅ Discovery automatique : trouve les endpoints K8s automatiquement
- ✅ Multiple perspectives : tests depuis internal/external/pod positions
- ✅ CVE coverage : vérifie vulnérabilités connues avec exploitation PoC
- ✅ Real-world scenarios : simule vrais patterns d'attaque sur K8s
Inconvénients et limitations
- ❌ Impact production : mode actif peut potentiellement affecter services
- ❌ Faux positives : certains "exploits" peuvent ne pas être critiques selon contexte
- ❌ Limited scope : focus sur K8s API/config, pas sur workloads applicatifs
- ❌ Ethical concerns : outil offensif nécessite autorisation explicite usage
- ❌ Detection risk : peut déclencher alertes security monitoring/SOC
Alternatives
- kube-bench : audit statique CIS compliance (complémentaire, pas offensif)
- Polaris : validation best practices (pas de pentesting réel)
- kubesec : analyse sécurité YAML (statique uniquement)
- Custom scripts : pentesting manual avec kubectl/tools (effort élevé)
- Commercial pentest : services externes spécialisés K8s (coût élevé)
Ressources
- GitHub : https://github.com/aquasecurity/kube-hunter
- Documentation : README avec guides d'usage et modes
- Aqua Security : https://aquasec.com/ pour context et best practices