Channel: k8s (in)security
Всем, привет!
Уже завтра состоится конференция БеКон 2025!
Несколько небольших новостей:
1) Мы сделали черновой вариант настольной игры про контейнерную безопасность (130 карточек) и ее можно будет опробовать на стенде Luntry. Игра имеет и развлекательный, и обучающий характер. После правки баланса, опечаток и т.д. будет финальная версия - очень нужна обратная связь. В дальнейшем есть идеи и по дополнениям для новых карточек.
2) В рамках спикерпати будет огненный квиз от широко известных @IT_Friday и @tech_b0lt_Genona ;)
3) С утра будут доступны стикеры от нашего товарища
4) Появился каталог мерча - можете заказать у друзей кто будет на конфе, если вы не сможете присутствовать
5) Все новости, анонсы, слайды (они по прежнему будут публиковаться сразу как докладчик выходит на сцену) будут доступны тут @bekon_conf ! В комментариях к слайдам можно спрашивать свои вопросы и докладчики после выступления ответят на них. Таким образом, это возможность задать свои вопросы для тех кто на конференции присутствовать не может.
Уже завтра состоится конференция БеКон 2025!
Несколько небольших новостей:
1) Мы сделали черновой вариант настольной игры про контейнерную безопасность (130 карточек) и ее можно будет опробовать на стенде Luntry. Игра имеет и развлекательный, и обучающий характер. После правки баланса, опечаток и т.д. будет финальная версия - очень нужна обратная связь. В дальнейшем есть идеи и по дополнениям для новых карточек.
2) В рамках спикерпати будет огненный квиз от широко известных @IT_Friday и @tech_b0lt_Genona ;)
3) С утра будут доступны стикеры от нашего товарища
cyberfolk, который выступал у нас в прошлом году. Успейте взять себе их с утра - их совсем немного.4) Появился каталог мерча - можете заказать у друзей кто будет на конфе, если вы не сможете присутствовать
5) Все новости, анонсы, слайды (они по прежнему будут публиковаться сразу как докладчик выходит на сцену) будут доступны тут @bekon_conf ! В комментариях к слайдам можно спрашивать свои вопросы и докладчики после выступления ответят на них. Таким образом, это возможность задать свои вопросы для тех кто на конференции присутствовать не может.
Всем, привет!
Сегодня проходит наша конференци БеКон 2025. Старт уже совсем скоро.
Слайды докладов и возможность спросить вопросы будет тут @bekon_conf
Сегодня проходит наша конференци БеКон 2025. Старт уже совсем скоро.
Слайды докладов и возможность спросить вопросы будет тут @bekon_conf
Статья OPA memory usage considerations and lessons from our transition to Kyverno описывает реальный опыт при использовании
В поисках более эффективного решения команда перешла на
OPA Gatekeeper для управления политиками в Kubernetes-кластерах и их переход на Kyverno. Основной проблемой при масштабировании кластеров стало высокое потребление памяти OPA, особенно при синхронизации большого количества объектов, таких как Pod’ы или CronJob’ы. Эти ограничения привели к увеличению нагрузку и ухудшению производительности, особенно в многопользовательских средах с высокой динамикой.В поисках более эффективного решения команда перешла на
Kyverno — нативный для Kubernetes механизм политик, который работает без необходимости синхронизировать данные и использует Kubernetes API в реальном времени. Этот подход позволил значительно снизить потребление памяти (в одном случае — с 8 ГБ до 2.7 ГБ) и упростить поддержку политик.Карта по ИС ФСТЭК России 240-24-38.svg
803.1 KB
На этом БеКон 2025 была парочка замечательных релизов и одним из них является визуализация информационного сообщения ФСТЭК России 240/24/38 от Андрея Слепых. Можно изучить как саму карту, так и презентацию "Как соответствовать требованиям ФСТЭК, если у вас контейнеры и кластеры". И это будет полезно как тем кто идет на сертификацию, так и тем кто просто хочет повысить уровень безопасности своих микросервисных приложений.
У инструмента ctrsploit, который будет полезен при проведении пентеста
Уязвимость позволяет модифицировать файловую систему хоста при скачивании специально скрафченного образа. С помощью
Что примечательно, ранее в публичном доступе не было эксплойта под
Kubernetes кластеров и о котором мы рассказывали на канале вышло очередное обновление! Автор расширил эксплоит пак и добавил туда сплойт для свежей CVE-2025-47290 под containerd. Уязвимость позволяет модифицировать файловую систему хоста при скачивании специально скрафченного образа. С помощью
ctrsploit можно собрать такой образ и модифицировать payload по необходимости.Что примечательно, ранее в публичном доступе не было эксплойта под
CVE-2025-47290. Уязвимость затрагивает только версию containerd 2.1.0.kubernetesMiracle это специально уязвимое тестовое приложение от ребят из
В приложении есть:
1) Уязвимый
2) Мисконфиг в
3) Подмена образа в
4rays, на котором можно как оттачивать свои атакующие навыки, так и тестировать используемые защитные меры и решения.В приложении есть:
1) Уязвимый
Wordpress с CVE-2019-99782) Мисконфиг в
RBAC3) Подмена образа в
image registryНебольшая статья Am I Still Contained? от
Автор разбирает довольно старый инструмент amicontained (о котором мы не раз рассказывали на канале), который уже давно не обновлялся, и фиксит там проблему с определением системных вызовов
Новый работающий форк можно найти тут.
Rory McCune повествующая о том, что нельзя полагаться на инструменты, которые всегда работают так, как работали раньше.Автор разбирает довольно старый инструмент amicontained (о котором мы не раз рассказывали на канале), который уже давно не обновлялся, и фиксит там проблему с определением системных вызовов
IO_URING внутри контейнеров.Новый работающий форк можно найти тут.
В
2024 году мы писали про OCI-совместимый runtime для FreeBSD jails, а в 2025 уже второй день все только что и обсуждают нативную поддержку Linux контейнеров (видео, код 1 и 2) в macOS 26 =)Начинаем эту неделю со статьи Top 15 Kubectl plugins for security engineers in 2025, в которой
Из интересного – есть детальная таблица, которая поможет понять поддерживается ли плагин на данный момент, возможно ли работать с новыми версиями
Sysdig предлагают неплохую подборку krew плагинов для Security инженеров.Из интересного – есть детальная таблица, которая поможет понять поддерживается ли плагин на данный момент, возможно ли работать с новыми версиями
K8s и какой Use Case может решить плагин.В одном из наших недавних постов мы уже рассказывали как мы сделали honeypot на базе Luntry. И вот недавно один из наших друзей поделился ссылкой на работу "HoneyKube: Designing and Deploying a Microservices-based Web Honeypot" (у данной работы и исходный код выложен на GitHub).
Чего-то супер примечательного и высоко технологичного там нет, но как само описание подхода и полученные результаты может быть интересно.
P.S. А сегодня-завтра можно пообщаться с нашей командой в рамках форума ITSEC, где будет отдельный поток по защите контейнеров ;)
Чего-то супер примечательного и высоко технологичного там нет, но как само описание подхода и полученные результаты может быть интересно.
P.S. А сегодня-завтра можно пообщаться с нашей командой в рамках форума ITSEC, где будет отдельный поток по защите контейнеров ;)
Команда мейнтенеров
Проблема аффектит следующие версии
Исправления доступны в версиях:
Интересно, что ни команда
Go выпустила патчи для версий golang 1.21.11 и 1.22.4, устраняющие состояние гонки симлинков при использовании os.RemoveAll, однако это проблема затронула и Kubernetes. Kubernetes Security Response Committee получил отчет о том, что эта проблема может быть использована в Kubernetes для удаления произвольных директорий на Node с правами root.Проблема аффектит следующие версии
Kubernetes:- <1.30.2
- <1.29.6
- <1.28.11
- <1.27.15Исправления доступны в версиях:
- 1.30.2+
- 1.29.6+
- 1.28.11+
- 1.27.15+Интересно, что ни команда
Go, ни команда Kubernetes не присвоила CVE для этой проблемы.GitHub
Security Advisory: Race Condition in Go allows Volume Deletion in older Kubernetes versions · Issue #132267 · kubernetes/kubernetes
The Go team has released a fix in Go versions 1.21.11 and 1.22.4 addressing a symlink race condition when using os.RemoveAll. The Kubernetes Security Response Committee received a report that this ...
Хотим представить вашему вниманию Kubernetes security diagram (cheatsheet) (исходный код тут). Интересная попытка визаулизировать разные аспекты безопасности
Kubernetes на одной диаграмме. Диаграмма развивается и дополняется - это можно заметить по странице проекта. При желании туда можно и контребьютить ;)В завершении недели
При использовании
Уязвимости присвоен низкий уровень критичности по
Затграгивает версии:
Патчи доступны для:
В качестве меры митигации предлагается выключить
Kubernetes преподносит нам ещё одну уязвимость – CVE-2025-4563: Nodes can bypass dynamic resource allocation authorization checks.При использовании
feature gates DynamicResourceAllocation атакующий на скомпрометированной Node может создать mirror pod, чтобы получить доступ к unauthorized dynamic resources, что потенциально может привести к повышению привилегий.Уязвимости присвоен низкий уровень критичности по
CVSS.Затграгивает версии:
- kube-apiserver: v1.32.0 - v1.32.5
- kube-apiserver: v1.33.0 - 1.33.1Патчи доступны для:
- kube-apiserver >= v1.32.6
- kube-apiserver >= v1.33.2В качестве меры митигации предлагается выключить
feature gate DynamicResourceAllocation.GitHub
CVE-2025-4563: Nodes can bypass dynamic resource allocation authorization checks · Issue #132151 · kubernetes/kubernetes
CVSS Rating: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L - Low (2.7) A vulnerability exists in the NodeRestriction admission controller where nodes can bypass dynamic resource allocation authoriza...
Начнем неделю со статьи "ETCD Production setup with TLS", которая представляет из себя небольшую инструкцию по настройке
Инструкция описывает построение защищенного
ETCD.Инструкция описывает построение защищенного
3-х нодового ETCD кластера, используя OpenSSL с полным TLS шифрованием (peer/client), управлением CA и настройкой systemd.Medium
ETCD Production setup with TLS
A step-by-step guide to setting up a secure ETCD cluster with SSL/TLS using OpenSSL, tailored for Kubernetes and PostgreSQL Patroni…
Сегодня расскажем про очередной новый оператор – Kubeconfig Operator.
Может быть полезно, когда нет нормального
Kubeconfig Operator генерирует конфиги с ограничениями, которые можно гранулярно раздавать на уровне кластера. Оператор позволяет устанавливать конкретные ограничения в RBAC, namespace, а также устанавливать expiration time.Может быть полезно, когда нет нормального
Identity Provider, но дать доступ в кластер очень нужно.Сегодня у нас рубрика "А знали ли вы?".
А знали ли вы что в банке данных угроз безопасности информации от ФСТЭК на текущий момент
- УБИ. 223 "Угроза несанкционированного доступа к контейнерам, предоставляющего пользователям расширенные привилегии"
- УБИ. 224 "Угроза нарушения целостности (подмены) контейнеров"
- УБИ. 225 "Угроза нарушения изоляции контейнеров"
- УБИ. 226 "Угроза внедрения вредоносного программного обеспечения в контейнеры"
- УБИ. 227 "Угроза модификации (подмены) образов контейнеров"
Конечно, тут далеко не все, но начало уже положено и радостно что нашу тему активно начинают везде добавлять и упоминать ;)
P.S. Честно сами узнали об этом совсем недавно пока помогали студентам в рамках нашей кураторской программы в процессе защит их дипломов. То есть не только мы помогаем и учим, но и сами учимся =)
А знали ли вы что в банке данных угроз безопасности информации от ФСТЭК на текущий момент
227 угроз и последние 5 (можно сказать самые последние добавленные) посвящены контейнерным угрозам!- УБИ. 223 "Угроза несанкционированного доступа к контейнерам, предоставляющего пользователям расширенные привилегии"
- УБИ. 224 "Угроза нарушения целостности (подмены) контейнеров"
- УБИ. 225 "Угроза нарушения изоляции контейнеров"
- УБИ. 226 "Угроза внедрения вредоносного программного обеспечения в контейнеры"
- УБИ. 227 "Угроза модификации (подмены) образов контейнеров"
Конечно, тут далеко не все, но начало уже положено и радостно что нашу тему активно начинают везде добавлять и упоминать ;)
P.S. Честно сами узнали об этом совсем недавно пока помогали студентам в рамках нашей кураторской программы в процессе защит их дипломов. То есть не только мы помогаем и учим, но и сами учимся =)
В AIStore Operator от
Уязвимости присвоен
Уязвимы все версии
NVIDIA нашли уязвимость, связанную с избыточными привилегиями RBAC. Service Account, используемый оператором обладал правами на чтение и листинг секретов и конфигмап, что могло привести к раскрытию чувствительной информации.Уязвимости присвоен
CVE-2025-23260 и оценку 5.0 по CVSS(Medium).Уязвимы все версии
AIStore Operator до 2.3.0.Ребята из
На наш взгляд это может быть полезно не только тем кто живет в
AWS сделали Threat Technique Catalog для своего облака. Этот каталог явно вдохновлялся матрицей угроз от MITRE, но содержит как известные техники, так и те что обнаружил AWS CIRT. Всего представлено на сегодняшний день 70 техник.На наш взгляд это может быть полезно не только тем кто живет в
AWS, но и вообще в облаках (так или иначе все можно принести на свое облако) и самим облачным провайдерам, чтобы понимать где у них и их клиентов могут быть проблемы.
HTML Embed Code: