CronJob ECR executa com permissoes excessivas sobre todos os secrets do namespace

INFRA-19

MediumAchado ConfirmadoInfraestruturaRodada 3

Descricao

ServiceAccount ecr-token-renewal-sa tem todos os verbos em todos os secrets do namespace. CronJob instala awscli via pip sem pinning.

Evidencia

`ecr-token-renewal.yaml` linhas 13-22: `resources: ["secrets"]` com todos os verbos.

Impacto Tecnico

Se pod comprometido, atacante lista e extrai todos os secrets do namespace.

Impacto de Negocio

Acesso a Firebase credentials, WhatsApp token e connection strings.

Recomendacao

Restringir Role ao secret especifico image-pull-secret-devel usando resourceNames.

Arquivos Afetados

.github/kubernetes/develop/aws-resources/ecr-token-renewal.yaml

Acoes Relacionadas

ACT-6.3.7Ver acao no plano

{
  "id": "INFRA-19",
  "title": "CronJob ECR executa com permissoes excessivas sobre todos os secrets do namespace",
  "severity": "Medium",
  "type": "achado confirmado",
  "category": "infrastructure",
  "description": "ServiceAccount `ecr-token-renewal-sa` tem todos os verbos em todos os secrets do namespace. CronJob instala `awscli` via pip sem pinning.",
  "evidence": "`ecr-token-renewal.yaml` linhas 13-22: `resources: [\"secrets\"]` com todos os verbos.",
  "technicalImpact": "Se pod comprometido, atacante lista e extrai todos os secrets do namespace.",
  "businessImpact": "Acesso a Firebase credentials, WhatsApp token e connection strings.",
  "recommendation": "Restringir Role ao secret especifico `image-pull-secret-devel` usando `resourceNames`.",
  "files": [
    ".github/kubernetes/develop/aws-resources/ecr-token-renewal.yaml"
  ],
  "pass": 3,
  "relatedActions": [
    "ACT-6.3.7"
  ]
}

CronJob ECR executa com permissoes excessivas sobre todos os secrets do namespace

Descricao

Arquivos Afetados

Acoes Relacionadas

Texto Original