В блоге исследовательской команды
Вывод тут простой - внимательнее читайте наши посты и будете в курсе самых интересных кейсов раньше других ;)
Aqua Security
вышел пост с громким названием "OPA Gatekeeper Bypass Reveals Risks in Kubernetes Policy Engines"! А по факту просто некорректно написанная политика... И такую некорректную политику можно написать и во всех других PolicyEngine
. Помимо этого мы на нашем канале уже об этом писали 3
года назад - вот оригинальный пост. Вывод тут простой - внимательнее читайте наши посты и будете в курсе самых интересных кейсов раньше других ;)
Aqua
OPA Gatekeeper Bypass Reveals Risks in Kubernetes Policy Engines
Research on Kubernetes policy enforcement risks and how misconfigurations in seemingly secure rules like OPA Gatekeeper enable bypassing.
👍11😁5🔥3❤2🤬1
В прошлом году, в одном из постов, мы рассказывали про инструмент k8spider и его возможности. Его автор совсем недавно выпустил статью "Spider in the Pod - How to Penetrate Kubernetes with Low or No Privileges", в которой рассказал как можно пентестить
Автор разбирает несколько кейсов для получения первоначального доступа:
В своем повествании автор возвращается к
Kubernetes
когда привилегий совсем нет или их очень мало.Автор разбирает несколько кейсов для получения первоначального доступа:
Java Heapdump to Cluster Initial Access, Gain Cluster Admin via Weave Scope Internal Unauthenticated Service, Leakage of sensitive information via mutating webhoo
k и Attacking persistent Database backend with NFS/CSI storage
. Крайне рекомендуем ознакомиться со всеми более детальней!В своем повествании автор возвращается к
k8spider
, а точнее улучшениям которые были внесены в последней версии. Теперь k8spider
умеет парсить метрики kube-state-metrics
и по ним восстанавливать информацию по доступным ресурсам и их конфигурации.🔥22❤8👍1🥰1
25 февраля
в 11:00
мы проведем вебинар «Безопасность контейнеров и Kubernetes для CISO».Вебинар будет интересен также
C-level
, тимлидам и руководителям информационной безопасности, которые работают с контейнерными средами или планируют их внедрение. Мы расскажем о ключевых аспектах безопасности контейнеров и Kubernetes
, поделимся практическим опытом и ответим на ваши вопросы.Команда Luntry уже более
5
лет помогает компаниям из разных секторов (банки, ритейл, финансы и др.) обеспечивать безопасность контейнерных инфраструктур. Мы работали с кластерами различного размера и уровня зрелости, поэтому можем поделиться релевантным опытом как для новичков, так и для экспертов в области контейнеризации.В рамках вебинара рассмотрим:
- Как и почему контейнеризация завоевывает инфраструктуры
- Что такое контейнеры и
Kubernetes
- Как смотреть на защиту контейнерных сред
- Как совместно с ИТ это все использовать на благо, а не во вред
- Почему защита
Kubernetes
это не то же самое, что и защита Windows/Linux/Mac
сред- Какие подводные камни есть при защите контейнерных сред
Регистрация по ссылке.
🔥9👍7❤4❤🔥2
Есть такое предчувствие, что такие механизмы как
Проект Kubernetes-AppArmor-Profiles еще одно подтверждение этому. В нем собраны
P.S. Ну и не зря же мы в наш Luntry пару лет назад добавляли генератор
AppArmor
и Seccomp
получат вторую жизнь и все благодаря контейнерам =) Проект Kubernetes-AppArmor-Profiles еще одно подтверждение этому. В нем собраны
AppArmor
и Seccomp
профили для популярных образов приложений: grafana
, ingress-nginx
, memcached
, nginx
, postgresql
, prometheus
, redis
, tomcat
, traefik
.P.S. Ну и не зря же мы в наш Luntry пару лет назад добавляли генератор
AppArmor
профилей в конце концов ;)GitHub
GitHub - Archguardian-io/Kubernetes-AppArmor-Profiles: AppArmor and Seccomp profiles for K8S images
AppArmor and Seccomp profiles for K8S images. Contribute to Archguardian-io/Kubernetes-AppArmor-Profiles development by creating an account on GitHub.
🔥25❤4👍4🥰2😁2
В декабре прошлого года ресерчеры из
На первый взгляд ничего общего с
Получив реверс-шелл (ввиду отсутствия
Дальнейшие их продвижение затрагивало сервисы
Unit 42
выпустили новое исследование – "Dirty DAG: New Vulnerabilities in Azure Data Factory’s Apache Airflow Integration".На первый взгляд ничего общего с
Kubernetes
тут нет, но как раз благодаря ряду критичных мисконфигов в инстансе Apache Airlfow
, запущенного под управлением K8s
исследователи смогли продвинуться дальше.Получив реверс-шелл (ввиду отсутствия
Network Policy
), благодаря DAG
, ресерчеры оказались внутри контейнера, использующего Service Account
с правами Сluster-Admin
. Далее они без особого труда прочитали секреты и сбежали на Node
.Дальнейшие их продвижение затрагивало сервисы
Azure
, но первоначальный доступ был получен именно благодаря недостаткам в кластере K8s
.🔥8🫡5😱2👍1
Мы наконец-то сделали официальный telegram канал для нашего решения Luntry, где будет публиковаться информация как о самом решении, так и наших активностях, новостях. Ну и хорошим техническим материалом канал не будет обделен. Там уже сейчас можно ознакомиться со статьей про инцидент SolarWinds в контейнерном Мире.
Подписывайтесь!
Подписывайтесь!
Telegram
Luntry — безопасность контейнеров
Luntry (luntry.ru) – Kubernetes-native платформа для полного контроля и безопасности контейнерной инфраструктуры без замедления
🔥16🎉4👍2❤1🍾1
12 февраля команда Luntry едет в
В 18:20 будет доклад Сергея Канибора, R&D Luntry (и автора данного канала), на тему “Безопасность ML кластеров Kubernetes”.
Мероприятие проходит
P.S. Приходите пообщаться лично)
Екатеринбург
на Квартирник по безопасной разработке – встреча сообщества, на которой мы обсудим важность DevSecOps
в 2025
году, обменяемся опытом и идеями в обстановке дружеского квартирника.В 18:20 будет доклад Сергея Канибора, R&D Luntry (и автора данного канала), на тему “Безопасность ML кластеров Kubernetes”.
Мероприятие проходит
онлайн
и оффлайн
, начало в 16:00. Зарегистрироваться на квартирник можно по ссылке – количество мест ограничено!P.S. Приходите пообщаться лично)
👍15🔥4
8 февраля проходил
На протяжении почти двух часов
После каждой атаки автор рассмотрел средства контроля, которые могут остановить или смягчить каждую атаку, какие инструменты следует иметь в своем арсенале при проведении аудита
Со слайдами и лабами из воркшопа можно ознакомиться в репозитории автора. Запись стрима доступна на YouTube.
Red Team Village Overflow
с множеством различных воркшопов, тему Kubernetes Security
также не обделили вниманием.На протяжении почти двух часов
Graham Helton
(Red Team Security Engineer, Google
) в своем воркшопе Breaching Bare Metal Kubernetes Clusters
рассматривает несколько сценариев атак, которые могут быть использованы для полной компрометации кластера Kubernetes
:- Namespace isolation
- Pod breakout
- RBAC abuse
- Steal Secrets
После каждой атаки автор рассмотрел средства контроля, которые могут остановить или смягчить каждую атаку, какие инструменты следует иметь в своем арсенале при проведении аудита
Kubernetes
, а также последствия (и заблуждения) Kubernetes
для безопасности.Со слайдами и лабами из воркшопа можно ознакомиться в репозитории автора. Запись стрима доступна на YouTube.
👍16❤🔥5🔥3❤2
Изначально мы просто планировали сделать просто про релиз фреймворка безопасности контейнеров JCSF. А потом подумали а почему бы не пригласить коллег и вместе рассмотреть и обсудить их фреймворк в рамках отдельного стрима ?!
Так что завтра в 11:00 проведем эфир и там поговорим о фреймворке и вообще про безопасность
Если у вас уже есть вопросы по теме, то оставляйте их в комментариях к данному посту - постараемся все это задать/уточнить/обсудить.
Регистрация тут.
Так что завтра в 11:00 проведем эфир и там поговорим о фреймворке и вообще про безопасность
Kubernetes
.Если у вас уже есть вопросы по теме, то оставляйте их в комментариях к данному посту - постараемся все это задать/уточнить/обсудить.
Регистрация тут.
👍6❤3🔥2🥰2
Мы видим как у наших клиентов и друзей все больше появляется самописных
kubernetes
операторов (про сторонние даже говорить нечего - их очень много уже в любой инфраструктуре). Тут важно понимать какие с ними могут быть проблемы. И как раз для этого может пригодиться работа "An Empirical Study on Kubernetes Operator Bugs", где рассматривается 210
ошибок с 36
операторов. Это все хорошо классифицировано и систематизировано, что позволяет поучиться на ошибках других и не допускать подобного в своих проектах.ACM Conferences
An Empirical Study on Kubernetes Operator Bugs | Proceedings of the 33rd ACM SIGSOFT International Symposium on Software Testing…
🔥24👍9🌚2❤1
Cегодня хотим обратить ваше внимание на информационное сообщение ФСТЭК России от 13 января 2025 г. N 240/24/38. Оно посвящено повышению безопасности средств защиты информации, в состав которых разработчики включают средства контейнеризации или образы контейнеров.
На нашей памяти это второе упоминание контейнеров/образов/микросервисов ФСТЭКом после публикации 118 приказа. Очень здорово, что регулятор все больше внимание удаляет данной теме!
И как раз в тему этого будет наш воркшоп “Основы анализа СЗИ в контейнерном исполнении с помощью Luntry” в рамках ТБФорум.
На нашей памяти это второе упоминание контейнеров/образов/микросервисов ФСТЭКом после публикации 118 приказа. Очень здорово, что регулятор все больше внимание удаляет данной теме!
И как раз в тему этого будет наш воркшоп “Основы анализа СЗИ в контейнерном исполнении с помощью Luntry” в рамках ТБФорум.
Telegram
k8s (in)security
13 февраля на ТБ Форуме пройдет доклад Анатолия Карпенко, инженера по автоматизации Luntry, на тему “Основы анализа СЗИ в контейнерном исполнении с помощью Luntry”.
За достаточно небольшой временной интервал мы с вами пройдем путь от полного неведения о…
За достаточно небольшой временной интервал мы с вами пройдем путь от полного неведения о…
👍12🔥4✍3💩3🤡1
2025
-ый год начался с очередной CVE
для Kubernetes
. CVE-2025-0426: Node Denial of Service via kubelet Checkpoint API аффектит версии kubelet
с 1.32.0 – 1.32.1. 1.31.0 – 1.31.5, 1.30.0 – 1.30.9
, а также все версии до 1.25,
поскольку поддержка Container checkpoint
была добавлена как alpha feature
в этой версии. Для эксплуатации уязвимости злоумышленнику достаточно отправить большое количество запросов на создание
container checkpoint
на read-only HTTP port
(если включен, то по умолчанию 10255
), что вызовет многократное создание файлов с checkpoints
в /var/lib/kubelet/checkpoints
и как следствие устроит DoS
для Node
.Однако, чтобы узявимость была эксплуатабельна должно сойтись несколько факторов:
1) Должен быть включен
read-only port
у kubelet
. Он включается отдельным параметром в конфиге2) Используемый
container runtime
должен поддерживать container checkpointing feature
, например CRI-O v1.25.0+
(с включенным параметром enable_criu_support
) или containerd v2.0+
с установленным criu
3) В самом
kubeapi
должен быть включен ContainerCheckpoint feature gate
GitHub
CVE-2025-0426: Node Denial of Service via kubelet Checkpoint API · Issue #130016 · kubernetes/kubernetes
CVSS Rating: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H A security issue was discovered in Kubernetes where a large number of container checkpoint requests made to the unauthenticated kubelet rea...
👀6👍2🔥1🤔1🥴1
В рамках недавно прошедшей конференции FOSDEM 2025 было ряд треков, которые явно подходят под тематику нашего канала и будут интересны нашей аудитории, а именно:
- Containers (тут и про
- eBPF (один доклад по ИБ)
- Monitoring and Observability (и
- Security (есть хорошие темы)
- SBOM (море всего интересного)
- Containers (тут и про
Kubernetes
есть, конечно)- eBPF (один доклад по ИБ)
- Monitoring and Observability (и
k8s
и eBPF
тоже есть)- Security (есть хорошие темы)
- SBOM (море всего интересного)
fosdem.org
FOSDEM 2025 - Tracks
👍14❤2🔥2
В прошлом году была раскрыта очередная уязвимость в ядре –
Бага была обнаружена в рамках
Уязвимость затрагивает довольно свежие версии ядер:
CVE-2024-36972
. И помимо локального повышения привилегий с помощью эксплуатации этой уязвимости можно добиться Container Escape
!Бага была обнаружена в рамках
kernelCTF
(что это такое мы не раз рассказывали на канале). А совсем недавно появился публичный эксплойт.Уязвимость затрагивает довольно свежие версии ядер:
v6.8 – v6.9
v5.15.147
v6.1.78
v6.6.17
👍10🔥1
Если вам не хватает хардкора в теме безопасности контейнеров и
Тема острая, горячая приправленная
При этом тема очень актуальная ввиду все большего количества систем, работающих с видеокартами.
P.S. Раньше всех о таких материал можно узнать на нашем официальном канале.
Kubernetes
, то специально для вас у нас в блоге вышла статья "Ломаем ваши видеокарты: распаковка эксплойта для CVE-2024-0132 под NVIDIA Container Toolkit"!Тема острая, горячая приправленная
ML
-кластерами, драйверами видеокарт, атакой TOCTOU
, проблемой разыменования symlinks
;)При этом тема очень актуальная ввиду все большего количества систем, работающих с видеокартами.
P.S. Раньше всех о таких материал можно узнать на нашем официальном канале.
🔥10🫡2👀1
Сегодня хочется познакомить вас с академическим исследованием "Uncovering Threats in Container Systems: A Study on Misconfigured Container Components in the Wild", выпущенным в конце прошлого года.
Во внимание исследователей попали
Во внимание исследователей попали
Docker
и Kubernetes
, а основной упор тут на доступные в сети интернет их системные компоненты, которые ясно дело не должны туда торчать и предоставляют дополнительные вектора атак. Такие вещи они назвали Misconfigured Container Components
сокрушённо MCC
. В итоге таких неблагонадежных систем в интернете нашлось 1,003,947
. Для сбора данных использовали Shodan API
. В работе есть много разных интересных таблиц и классификаций, так что рекомендуем ознакомиться самостоятельно.👍14🔥5❤1👀1
Довольно часто бывает так, что во время пентеста, оказавшись внутри контейнера, внутри либо нет никаких инструментов, либо нет возможности их докачать. Однако, многие популярные образы образы, например
Атакующие могут воспользоваться
go
, haproxy
, kong
, nginx
и другие distroless
образы содержат бинарь с openSSL
.Атакующие могут воспользоваться
openSSL
для сканирования сети, например, с помощью такого oneliner
:
LOS_24_IP="ENTER_IP_TO_SCAN";IP=$(echo $LOS_24_IP | cut -d"." -f1,2,3);for i in $(seq 1 255); do NEW_IP=$(echo $IP.$i); (timeout .1 openssl s_client $NEW_IP 2>&1 | grep -q "connect:errno" && echo "$NEW_IP,up" 2>/dev/null) 2>/dev/null ;done
🔥44😱12👍10🎉1
У себя на сайте мы выложили запись выступления "Основы анализа СЗИ в контейнерном исполнении с помощью Luntry". В рамках которого можно посмотреть как подходить к изучению и анализу абсолютно любого неизвестного контейнерного приложения в
Kubernetes
. В результате понять что и как работает внутри контейнера, какую сетевую активность вызывает и как вообще это приложение соответствует лучшим практикам безопасности. Это будет полезно как исследовательским лабораториям, так и специалистам ИБ, которые проводят работы по ПМИ новых релизов своих или сторонних разработчиков.luntry.ru
Блог Luntry. Раздел «Исследования»
Полезные материалы с выступлений наших экспертов. Статьи о безопасности Kubernetes и контейнеров. Библиотека знаний о K8s.
1👍15🔥5❤3
Начнем эту неделю с простенькой статьи "Why running as root in Kubernetes containers is dangerous?". Целевая аудитория начинающие, но читайте ее внимательно ;) Уже ("наверное") скоро можно будет обсудить
P.S. В Luntry детект уже в процессе добавления, статья для блога уже почти готова - ждем патча.
0day
уязвимость в Kubernetes
, касающийся данного аспекта!P.S. В Luntry детект уже в процессе добавления, статья для блога уже почти готова - ждем патча.
Marcin Wasiucionek
Why running as root in Kubernetes containers is dangerous?
Introduction
In the world of Kubernetes security, a commonly heard recommendation is to run containers as non-root users. But what are the real security implications of running as root within containers? This best practice is often emphasized in Docker images…
In the world of Kubernetes security, a commonly heard recommendation is to run containers as non-root users. But what are the real security implications of running as root within containers? This best practice is often emphasized in Docker images…
🔥15❤1🥰1😴1