На днях обновился популярный инструмент для проведения пентеста Kubernetes инфраструктуры - речь идет о Peirates (его и злоумышленники любят).

Основные нововведения этого релиза возможность автоматизировано собрать Secrets с файловой системы Nodes. А именно он лезет в /var/lib/kubelet/pods/. Вручную это делать - достаточно муторная и неприятная задачка ... Естественно так или иначе сначала нужно попасть на эту Node ;)

Также вторая это фича "Enumerate services via DNS" - реализуется через запрос SRV записи any.any.svc.cluster.local (об этом мы уже писали). Мы уже с вами знаем как DNS всемогущ в Kubernetes =)

Все написано на Go сами собираете называете как-то в духе "nginx", "kubelet", "runc" и передаете горячий привет сигнатурным движкам ;)

k8s (in)security

На днях обновился популярный инструмент для проведения пентеста Kubernetes инфраструктуры - речь идет о Peirates (его и злоумышленники любят).

Основные нововведения этого релиза возможность автоматизировано собрать Secrets с файловой системы Nodes. А именно он лезет в /var/lib/kubelet/pods/. Вручную это делать - достаточно муторная и неприятная задачка ... Естественно так или иначе сначала нужно попасть на эту Node ;)

Также вторая это фича "Enumerate services via DNS" - реализуется через запрос SRV записи any.any.svc.cluster.local (об этом мы уже писали). Мы уже с вами знаем как DNS всемогущ в Kubernetes =)

Все написано на Go сами собираете называете как-то в духе "nginx", "kubelet", "runc" и передаете горячий привет сигнатурным движкам ;)

hottg.com/k8security/446

2.0K viewsD1g1, edited  Nov 17, 2021 at 06:24