k8s (in)security@k8security P.913

Notice: file_put_contents(): Write of 17755 bytes failed with errno=28 No space left on device in /var/www/tgoop/post.php on line 50
k8s (in)security@k8security P.913

K8SECURITY Telegram 913

k8s (in)security

Attacking and securing cloud identities in managed Kubernetes part 1: Amazon EKS – первая статья из цикла про атаку и защиту managed Kubernetes (Amazon EKS).

Автор довольно подробно разбирает, то как работает аутентификация и авторизация в EKS кластере, а потом на примере уязвимового веб-приложения демонстрирует как можно застилить Node credentials через IMDS, а также показывает pivoting технику для продвижения по AWS облаку. Безусловно, без ряда оговорок с неправильной конфигурацией самого кластера ничего бы не вышло.

В конце упоминается тулза MKAT (о которой мы рассказывали ранее), она будет полезной если вы хотите проверить защищенность вашего EKS кластера.

Если говорить о remedations, то это в первую очередь:

1) Использование сетевых политик, для ограничения доступа Pod к IMDS
2) Выставление http_put_response_hop_limit = 1
3) Использование IAM ролей для ServiceAccount с целью аутентификации рабочих нагрузок Kubernetes в AWS.

👍10🔥1🥰1

www.tgoop.com/k8security/913

3.01K viewsr0binak, Jun 22, 2023 at 05:01

tgoop.com/k8security/913

Create: 2023-06-22
Last Update: 2025-08-04 14:01:43

Attacking and securing cloud identities in managed Kubernetes part 1: Amazon EKS – первая статья из цикла про атаку и защиту managed Kubernetes (Amazon EKS).

Автор довольно подробно разбирает, то как работает аутентификация и авторизация в EKS кластере, а потом на примере уязвимового веб-приложения демонстрирует как можно застилить Node credentials через IMDS, а также показывает pivoting технику для продвижения по AWS облаку. Безусловно, без ряда оговорок с неправильной конфигурацией самого кластера ничего бы не вышло.

В конце упоминается тулза MKAT (о которой мы рассказывали ранее), она будет полезной если вы хотите проверить защищенность вашего EKS кластера.

Если говорить о remedations, то это в первую очередь:

1) Использование сетевых политик, для ограничения доступа Pod к IMDS
2) Выставление http_put_response_hop_limit = 1
3) Использование IAM ролей для ServiceAccount с целью аутентификации рабочих нагрузок Kubernetes в AWS.

BY k8s (in)security

Share with your friend now:
tgoop.com/k8security/913

Open in Telegram

Telegram News

Date: 2025-08-04|

With the “Bear Market Screaming Therapy Group,” we’ve now transcended language. As the broader market downturn continues, yelling online has become the crypto trader’s latest coping mechanism after the rise of Goblintown Ethereum NFTs at the end of May and beginning of June, where holders made incoherent groaning sounds and role-played as urine-loving goblin creatures in late-night Twitter Spaces. With Bitcoin down 30% in the past week, some crypto traders have taken to Telegram to “voice” their feelings. With the administration mulling over limiting access to doxxing groups, a prominent Telegram doxxing group apparently went on a "revenge spree." As of Thursday, the SUCK Channel had 34,146 subscribers, with only one message dated August 28, 2020. It was an announcement stating that police had removed all posts on the channel because its content “contravenes the laws of Hong Kong.”
from us

Telegram k8s (in)security
FROM American