Завершить эту неделю хотим докладом с Kubecon North America 2021 – "Kubernetes Exposed! Seven of Nine Hidden Secrets That Will Give You... Ian Coldwater & Brad Geesaman". Спикеры представили несколько интересных приемов, которые могут быть полезны при проведении пентестов.

Наше внимание приковал трюк с обходом Policy Engine – для того чтобы его повторить атакующий должен иметь права на создание Pods и Services с External IP.

Для начала необходимо создать Deployment с nginx и Service с External IP с выставленными Pod IP и Service IP от Kyverno. Суть атаки состоит в том, чтобы заскейлить nginx до 2 реплик, попробовать создать Pod в обход политики Policy Engine и заскейлить nginx до 3 реплик, а после опять до 2. Это необходимо для того чтобы заставить kube-proxy сбросить iptables и увеличить шансы на деплой в обход политики Policy Engine.

Через какое-то время Kyverno попадает под Leader Election и вырубается, в этот момент создается Bad Pod.

Ознакомиться со слайдами можно тут, а посмотреть доклад тут.

Мы решили проверить и воспроизвести трюк с обходом Policy Engine из прошлого поста и рассказать как обстоят с этим дела в 2024 году (прошло 3 года с момента выхода доклада).

Авторы в докладе упомянули, что этот трюк позволяет обойти любой Policy Engine движок. На Kyverno, при отсутствии enforce политики на создание Service с ExternalIP, действительно получается сложить вебхук и как следствие забайпасить любую политику, а вот с OPA Gatekeeper такого не происходит.

Начиная с версии Kyverno 1.11 была добавлена поддержка механизма API Priority And Fairness, который позволяет избежать таких ситуаций.

Наша конференция уже совсем скоро и мы хотим попросить вас немного накидать нам бустов https://www.tgoop.com/boost/k8security , чтобы мы могли более интересно и активно передавать новости с мероприятия для всех кто не может на нем присутствовать.

Заранее всем большое спасибо!

Вроде все красиво и правильно на данном скриншоте ... НО есть один нюанс)

Ответ, на него с разъяснением вы можете получить из полезного выступления "Least Privilege Containers: Keeping a Bad Day from Getting Worse" c Kubecon 2023 от инженеров Google.

Ответ: это не будет работать из-за сочетания не root пользователя и дополнительной capability.

Всем, привет!

Уже завтра состоится наша конференция, времени осталось совсем немного!

Для все кто будет на площадке мы подготовили специальный гайд по мероприятию, чтобы этот день провести с максимальной пользой и удовольствием.

Для все кто не сможет быть на площадке мы будем делиться атмосферой в историях и оперативно выкладывать слайды здесь на канале. При этом в комментариях к постам вы можете задавать свои вопросы и после выступлений докладчики на них ответят!

"Почему защитой k8s должно заниматься целое подразделение?" – Артем Мерец, Tinkoff

"Латаем огрехи в образах приложений с помощью Kubernetes" – Анатолий Карпенко, Luntry

"Мечтают ли антивирусы о docker-образах?" – Владимир Капистка, samokat. tech

"Все ли Service Mesh одинаковы полезны для ИБ?" – Максим Чудновский, СберТех

"От стандартных к нестандартным методам управления секретами в контейнерах" – Валерий Кунавин

"Linux user namespace в чертогах Kubernetes" – Дмитрий Евдокимов, Luntry

"Мультитенантность в Kubernetes: есть ли серебряная пуля?" – Константин Аксенов, Флант

"Строим заборы между сервисами", – Андрей Бойцев, Яндекс Финтех

"Вы еще не читаете Kubernetes Audit Log? Тогда мы идем к вам!" – Алиса Кириченко, Лаборатория Числитель

Мы завершили БеКон 2024. Всем, большое спасибо за участие!

В официальном блоге Kubernetes вышла статья "10 Years of Kubernetes". Тоесть у K8s День Рождение, отсчитывая от первого коммита на GitHub! В статье описаны различные вехи, история и будущее развития. Всем не равнодушным обязательно к прочтению =)

P.S. Если у вас есть вопросы по докладам со вчерашнего БеКон, то пишите их в комментариях к соответствующим слайдам и докладчики ответят на них.

P.S.S. Исторически случайно случилось, что БеКон проходит рядом с ДР k8s - мелочь, а приятно)

В завершение этой недели хотим поделиться статьей – "Six Critical Blindspots While Securing Argo CD". Будет очень актуально, если вы используете (или планируете использовать) ArgoCD в качестве GitOps оператора в своей инфраструктуре.

В статье автор рассказывает о 6 принципах, которым необходимо следовать, чтобы сделать использование ArgoCD максимально безопасным:

1) Use a dedicated project for the control plane
2) Argo resources are for Argo admins only
3) Delete the “default” project
4) Block ClusterRoleBindings in (most) projects
5) Narrow roles on remote clusters
6) Have a CVE response plan ready

Всем, привет!

У нас есть опросник по итогам БеКон 2024 - он лежит здесь. Нам очень важна обратная связь от всех кто участвовал, чтобы следующую нашу конференцию еще лучше. И это не возможно без вашей помощи. Заранее большое спасибо за вашу помощь!

Определенно в следующим году мы немного расширим подход к отбору докладов и можно будет присылать свои заявки ;)

И еще раз всем спасибо, что пришли и поддержали нас на конференции)

Очень хардкорная статья "Flipping Pages: An analysis of a new Linux vulnerability in nf_tables and hardened exploitation techniques" для любителей атак через уязвимости ядра. Примечательна она тем что данный случай рассматривается в рамках KernelCTF (о котором мы не однократно писали и который вышел из kCTF). А также что для успешной атаки тут требуется unprivileged-user namespaces, о котором мы рассказывали в одном из наших докладов на последнем БеКон ;)

Если во время пентеста вы оказались на Node и вам потребовалось собрать данные с etcd, а набирать в консоле kubectl и etcdctl не хочется, то вот этот скрипт может вам помочь.