Почти месяц назад у
- два новых типа политики
- улучшения и оптимизации при использовании
-
- улучшения
Более подробно об этом релизе и не только можно узнать в блоге
Kyverno вышел новый релиз – 1.14.0. И это довольно значимый релиз, по скольку с него, можно сказать начинается новая веха в развитии этого Policy Engine. А именно – управление политиками стало более модульным, оптимизированным и мощным. Из крупных нововведений:- два новых типа политики
ValidatingPolicy и ImageValidatingPolicy- улучшения и оптимизации при использовании
CEL в политиках-
Policy exceptions теперь поддерживают CEL выражения- улучшения
kyverno CLI для валидации любых json-объектовБолее подробно об этом релизе и не только можно узнать в блоге
Kyverno и в их документации.👍17🔥6❤2
На нашем сайте в раздел Исследований стало доступно видео и слайды выступления "Стандарт безопасности контейнеров NIST 800 190 в 2025 году" с конференции Deckhouse Conf 2025.
P.S. Получив обратную связь по данной работе, мы продолжили работать над картой и в последствии выложим ее в открытый доступ.
P.S. Получив обратную связь по данной работе, мы продолжили работать над картой и в последствии выложим ее в открытый доступ.
👍14🔥7
Совсем недавно, проходил очередной контест
Да, в списке есть тот самый
Исследователи из
Как обычно, после раскрытия
Отдельно стоит отметить, что категория
Pwn2Own. Примечательно, что организаторы ввели новую категорию AI с такими таргетами как:- Chroma
- Postgres pgvector
- Redis
- Ollama
- NVIDIA Triton Inference Server
- NVIDIA Container ToolkitДа, в списке есть тот самый
NVIDIA Container Toolkit для которого мы готовили эксплойт и выпускали статью на этот счет!Исследователи из
WIZ в рамках Pwn2Own нашли еще один баг в этом тулките. Официально ни присвоения CVE, ни патча еще не последовало.Как обычно, после раскрытия
0-day в ходе соревнования Pwn2Own у вендоров есть 90 дней на подготовку и выпуск патча для своих продуктов, прежде чем Trend Micro Zero Day Initiative опубликует технические подробности.Отдельно стоит отметить, что категория
Cloud-Native/Container осталась без находок.👍12❤4🔥4🕊1
Всем, привет!
До конференции БеКон 2025 остается совсем немного времени и мы хотим сообщить что на площадке впервые будет представлен МЕРЧ store!
Часть нашего лимитированного мерча вы можете уже увидеть на этих фотках ;)
До конференции БеКон 2025 остается совсем немного времени и мы хотим сообщить что на площадке впервые будет представлен МЕРЧ store!
Часть нашего лимитированного мерча вы можете уже увидеть на этих фотках ;)
🔥22👍6❤2🤩1🥴1
Недавно наши друзья из исследовательской команды 4rays у себя на канале опубликовали пост про "Безопасность локальных docker-реестров через механизм нотификаций" про отслеживание подозрительной активности в локальных
Честно мы (да думаю и многие) в данном направлении ранее даже не думали. В основном тут все сосредоточенны на:
- Вопросах аутентификации и авторизации
- Безопасной контролируемой сборке
-
- Защищенном
- Подписи образов
- Запуску только из разрешенного
- Запрет на
- и т.д.
И действительно дополнительным уровнем можно еще добавить мониторинг за операциями работы с образами и их слоями. На пример, когда:
- используется не типичный
- работа проходит со странных адресов
- работа идет в нерабочее или не типичное время для данной операции
- имя образа не соответствует шаблону именования вашей компании
Кто-нибудь уже так делает или смотрел в эту сторону?
docker-реестрах.Честно мы (да думаю и многие) в данном направлении ранее даже не думали. В основном тут все сосредоточенны на:
- Вопросах аутентификации и авторизации
- Безопасной контролируемой сборке
-
Registry Staging- Защищенном
registry- Подписи образов
- Запуску только из разрешенного
registry- Запрет на
push из prod кластера- и т.д.
И действительно дополнительным уровнем можно еще добавить мониторинг за операциями работы с образами и их слоями. На пример, когда:
- используется не типичный
user-agent- работа проходит со странных адресов
- работа идет в нерабочее или не типичное время для данной операции
- имя образа не соответствует шаблону именования вашей компании
Кто-нибудь уже так делает или смотрел в эту сторону?
👍16❤6🔥6😐4
Наверняка, если вы проводите пентесты, то попав в изолированное и/или
Однако, ребята из
Так что, если проводите пентесты в облаках,
non-root окружение, в первую очередь вы попытаетесь поднять себе привилегии. Скорее всего для этого вы будете использовать известный всем LinPEAS (он кстати тоже частично может помочь, если вы оказались в докер контейнере или Kubernetes Pod).Однако, ребята из
Hacktrics пошли дальше и сделали набор скриптов – CloudPEASS. Эта штука представляет из себя набор python скриптов для поднятия привилегий в облачных окружениях GCP, AWS и Azure.Так что, если проводите пентесты в облаках,
CloudPEASS – must have!👍28🔥3🍌1
BLAFS - инструмент для исключения из образов всего лишнего, не нужного, постороннего для оптимизации размера, уменьшения поверхности атаки и уменьшения количества
Подробнее об инструменте можно узнать из его пейпера "The Cure is in the Cause: A Filesystem for Container Debloating".
В документе инструмент называется BAFFS (Bloat Aware File-System), но авторы потом переименовали и выложили по другому адресу. Для своей работы инструмент конвертирует образ контейнера в новый вид с новой ФС и уже с помощью нее понимает, что в образе не используется и можно выкинуть. Естественно для профилирования вам нужно запустить хорошие, полноценные
Идейно напоминает инструмент
CVE в образе.Подробнее об инструменте можно узнать из его пейпера "The Cure is in the Cause: A Filesystem for Container Debloating".
В документе инструмент называется BAFFS (Bloat Aware File-System), но авторы потом переименовали и выложили по другому адресу. Для своей работы инструмент конвертирует образ контейнера в новый вид с новой ФС и уже с помощью нее понимает, что в образе не используется и можно выкинуть. Естественно для профилирования вам нужно запустить хорошие, полноценные
unit tests/integration tests. Иначе профилирование будет не точное.Идейно напоминает инструмент
Slim/SlimToolKit/Mint (о нем писали тут), и о с ним также проводится сравнение. Классно что новая предложенная техника также может быть использована вместе с lazy load.GitHub
GitHub - negativa-ai/BLAFS: A tool for Container Debloating that removes bloat and improves performance.
A tool for Container Debloating that removes bloat and improves performance. - negativa-ai/BLAFS
❤12🔥10👍4
Казалось – через
Однако, при взаимодействии с
Всё дело в том, что
В этом KEP есть подробная информация о том какие возможности дает тот или иной профиль. Более подробно эту тему поднял
P.S – также для
kubectl debug можно довольно легко сбежать на Node (если на это есть соответствующие права):
kubectl debug node/desktop-control-plane -it --image=busybox
chroot /host
Однако, при взаимодействии с
container runtime сокетом, можно получить такие ошибки:
ctr: failed to unmount /tmp/containerd-mount2094132404: operation not permitted: failed to mount /tmp/containerd-mount2094132404: operation not permitted
Всё дело в том, что
ephemeral container запускается с недостаточными привилегиями. И это можно исправить просто указав флаг --profile:
kubectl debug node/desktop-control-plane -it --image=busybox --profile=sysadmin
В этом KEP есть подробная информация о том какие возможности дает тот или иной профиль. Более подробно эту тему поднял
Rory McCune у себя в статье – Kubernetes Debug Profiles.P.S – также для
kubectl debug можно передать параметр -n и тогда debug контейнер запустится в указанном неймспейсе. Особенно удобно поднимать его в kube-system, поскольку имя Pod будет что-то вроде node-debugger-desktop-control-plane-9gd7q и не привлечет много внимания, чего порой нужно добиться на пентесте.👍17🔥17❤5
Всем, привет!
Уже завтра состоится конференция БеКон 2025!
Несколько небольших новостей:
1) Мы сделали черновой вариант настольной игры про контейнерную безопасность (130 карточек) и ее можно будет опробовать на стенде Luntry. Игра имеет и развлекательный, и обучающий характер. После правки баланса, опечаток и т.д. будет финальная версия - очень нужна обратная связь. В дальнейшем есть идеи и по дополнениям для новых карточек.
2) В рамках спикерпати будет огненный квиз от широко известных @IT_Friday и @tech_b0lt_Genona ;)
3) С утра будут доступны стикеры от нашего товарища
4) Появился каталог мерча - можете заказать у друзей кто будет на конфе, если вы не сможете присутствовать
5) Все новости, анонсы, слайды (они по прежнему будут публиковаться сразу как докладчик выходит на сцену) будут доступны тут @bekon_conf ! В комментариях к слайдам можно спрашивать свои вопросы и докладчики после выступления ответят на них. Таким образом, это возможность задать свои вопросы для тех кто на конференции присутствовать не может.
Уже завтра состоится конференция БеКон 2025!
Несколько небольших новостей:
1) Мы сделали черновой вариант настольной игры про контейнерную безопасность (130 карточек) и ее можно будет опробовать на стенде Luntry. Игра имеет и развлекательный, и обучающий характер. После правки баланса, опечаток и т.д. будет финальная версия - очень нужна обратная связь. В дальнейшем есть идеи и по дополнениям для новых карточек.
2) В рамках спикерпати будет огненный квиз от широко известных @IT_Friday и @tech_b0lt_Genona ;)
3) С утра будут доступны стикеры от нашего товарища
cyberfolk, который выступал у нас в прошлом году. Успейте взять себе их с утра - их совсем немного.4) Появился каталог мерча - можете заказать у друзей кто будет на конфе, если вы не сможете присутствовать
5) Все новости, анонсы, слайды (они по прежнему будут публиковаться сразу как докладчик выходит на сцену) будут доступны тут @bekon_conf ! В комментариях к слайдам можно спрашивать свои вопросы и докладчики после выступления ответят на них. Таким образом, это возможность задать свои вопросы для тех кто на конференции присутствовать не может.
🔥25❤7👍4😢1
Всем, привет!
Сегодня проходит наша конференци БеКон 2025. Старт уже совсем скоро.
Слайды докладов и возможность спросить вопросы будет тут @bekon_conf
Сегодня проходит наша конференци БеКон 2025. Старт уже совсем скоро.
Слайды докладов и возможность спросить вопросы будет тут @bekon_conf
🔥40❤4👍3
Статья OPA memory usage considerations and lessons from our transition to Kyverno описывает реальный опыт при использовании
В поисках более эффективного решения команда перешла на
OPA Gatekeeper для управления политиками в Kubernetes-кластерах и их переход на Kyverno. Основной проблемой при масштабировании кластеров стало высокое потребление памяти OPA, особенно при синхронизации большого количества объектов, таких как Pod’ы или CronJob’ы. Эти ограничения привели к увеличению нагрузку и ухудшению производительности, особенно в многопользовательских средах с высокой динамикой.В поисках более эффективного решения команда перешла на
Kyverno — нативный для Kubernetes механизм политик, который работает без необходимости синхронизировать данные и использует Kubernetes API в реальном времени. Этот подход позволил значительно снизить потребление памяти (в одном случае — с 8 ГБ до 2.7 ГБ) и упростить поддержку политик.🔥28
Карта по ИС ФСТЭК России 240-24-38.svg
803.1 KB
На этом БеКон 2025 была парочка замечательных релизов и одним из них является визуализация информационного сообщения ФСТЭК России 240/24/38 от Андрея Слепых. Можно изучить как саму карту, так и презентацию "Как соответствовать требованиям ФСТЭК, если у вас контейнеры и кластеры". И это будет полезно как тем кто идет на сертификацию, так и тем кто просто хочет повысить уровень безопасности своих микросервисных приложений.
👍21🤮14🔥9❤5🥴3💩1
У инструмента ctrsploit, который будет полезен при проведении пентеста
Уязвимость позволяет модифицировать файловую систему хоста при скачивании специально скрафченного образа. С помощью
Что примечательно, ранее в публичном доступе не было эксплойта под
Kubernetes кластеров и о котором мы рассказывали на канале вышло очередное обновление! Автор расширил эксплоит пак и добавил туда сплойт для свежей CVE-2025-47290 под containerd. Уязвимость позволяет модифицировать файловую систему хоста при скачивании специально скрафченного образа. С помощью
ctrsploit можно собрать такой образ и модифицировать payload по необходимости.Что примечательно, ранее в публичном доступе не было эксплойта под
CVE-2025-47290. Уязвимость затрагивает только версию containerd 2.1.0.🔥15❤2
kubernetesMiracle это специально уязвимое тестовое приложение от ребят из
В приложении есть:
1) Уязвимый
2) Мисконфиг в
3) Подмена образа в
4rays, на котором можно как оттачивать свои атакующие навыки, так и тестировать используемые защитные меры и решения.В приложении есть:
1) Уязвимый
Wordpress с CVE-2019-99782) Мисконфиг в
RBAC3) Подмена образа в
image registry❤13👍7🔥5✍1😁1
Небольшая статья Am I Still Contained? от
Автор разбирает довольно старый инструмент amicontained (о котором мы не раз рассказывали на канале), который уже давно не обновлялся, и фиксит там проблему с определением системных вызовов
Новый работающий форк можно найти тут.
Rory McCune повествующая о том, что нельзя полагаться на инструменты, которые всегда работают так, как работали раньше.Автор разбирает довольно старый инструмент amicontained (о котором мы не раз рассказывали на канале), который уже давно не обновлялся, и фиксит там проблему с определением системных вызовов
IO_URING внутри контейнеров.Новый работающий форк можно найти тут.
👍9🔥2❤1
В
2024 году мы писали про OCI-совместимый runtime для FreeBSD jails, а в 2025 уже второй день все только что и обсуждают нативную поддержку Linux контейнеров (видео, код 1 и 2) в macOS 26 =)🔥15
Начинаем эту неделю со статьи Top 15 Kubectl plugins for security engineers in 2025, в которой
Из интересного – есть детальная таблица, которая поможет понять поддерживается ли плагин на данный момент, возможно ли работать с новыми версиями
Sysdig предлагают неплохую подборку krew плагинов для Security инженеров.Из интересного – есть детальная таблица, которая поможет понять поддерживается ли плагин на данный момент, возможно ли работать с новыми версиями
K8s и какой Use Case может решить плагин.1👍12🔥3🥰1