Не так давно наш хороший товарищ и докладчик первого БеКон Дмитрий Путилин, хорошо известных в узких кругах Кубоводов, завел свой канал и выпустил невероятный материал Kubernetes The Hard Way на русском языке и с доскональным внимание к деталям.
Насколько детально там все рассматривается можно понять по прямому сравнению с Kubernetes The Hard Way от Kelsey Hightower.
В общем, это просто MUST HAVE материал для тех кто хочет реально понимать
Насколько детально там все рассматривается можно понять по прямому сравнению с Kubernetes The Hard Way от Kelsey Hightower.
В общем, это просто MUST HAVE материал для тех кто хочет реально понимать
Kubernetes
и стать крутым DevOps
специалистом, а не ClickOps
;)Почти месяц назад у
- два новых типа политики
- улучшения и оптимизации при использовании
-
- улучшения
Более подробно об этом релизе и не только можно узнать в блоге
Kyverno
вышел новый релиз – 1.14.0
. И это довольно значимый релиз, по скольку с него, можно сказать начинается новая веха в развитии этого Policy Engine
. А именно – управление политиками стало более модульным, оптимизированным и мощным. Из крупных нововведений:- два новых типа политики
ValidatingPolicy
и ImageValidatingPolicy
- улучшения и оптимизации при использовании
CEL
в политиках-
Policy exceptions
теперь поддерживают CEL
выражения- улучшения
kyverno CLI
для валидации любых json-объектовБолее подробно об этом релизе и не только можно узнать в блоге
Kyverno
и в их документации.На нашем сайте в раздел Исследований стало доступно видео и слайды выступления "Стандарт безопасности контейнеров NIST 800 190 в 2025 году" с конференции Deckhouse Conf 2025.
P.S. Получив обратную связь по данной работе, мы продолжили работать над картой и в последствии выложим ее в открытый доступ.
P.S. Получив обратную связь по данной работе, мы продолжили работать над картой и в последствии выложим ее в открытый доступ.
Совсем недавно, проходил очередной контест
Да, в списке есть тот самый
Исследователи из
Как обычно, после раскрытия
Отдельно стоит отметить, что категория
Pwn2Own
. Примечательно, что организаторы ввели новую категорию AI
с такими таргетами как:- Chroma
- Postgres pgvector
- Redis
- Ollama
- NVIDIA Triton Inference Server
- NVIDIA Container Toolkit
Да, в списке есть тот самый
NVIDIA Container Toolkit
для которого мы готовили эксплойт и выпускали статью на этот счет!Исследователи из
WIZ
в рамках Pwn2Own
нашли еще один баг в этом тулките. Официально ни присвоения CVE
, ни патча еще не последовало.Как обычно, после раскрытия
0-day
в ходе соревнования Pwn2Own
у вендоров есть 90
дней на подготовку и выпуск патча для своих продуктов, прежде чем Trend Micro Zero Day Initiative
опубликует технические подробности.Отдельно стоит отметить, что категория
Cloud-Native/Container
осталась без находок.Всем, привет!
До конференции БеКон 2025 остается совсем немного времени и мы хотим сообщить что на площадке впервые будет представлен МЕРЧ store!
Часть нашего лимитированного мерча вы можете уже увидеть на этих фотках ;)
До конференции БеКон 2025 остается совсем немного времени и мы хотим сообщить что на площадке впервые будет представлен МЕРЧ store!
Часть нашего лимитированного мерча вы можете уже увидеть на этих фотках ;)
Недавно наши друзья из исследовательской команды 4rays у себя на канале опубликовали пост про "Безопасность локальных docker-реестров через механизм нотификаций" про отслеживание подозрительной активности в локальных
Честно мы (да думаю и многие) в данном направлении ранее даже не думали. В основном тут все сосредоточенны на:
- Вопросах аутентификации и авторизации
- Безопасной контролируемой сборке
-
- Защищенном
- Подписи образов
- Запуску только из разрешенного
- Запрет на
- и т.д.
И действительно дополнительным уровнем можно еще добавить мониторинг за операциями работы с образами и их слоями. На пример, когда:
- используется не типичный
- работа проходит со странных адресов
- работа идет в нерабочее или не типичное время для данной операции
- имя образа не соответствует шаблону именования вашей компании
Кто-нибудь уже так делает или смотрел в эту сторону?
docker
-реестрах.Честно мы (да думаю и многие) в данном направлении ранее даже не думали. В основном тут все сосредоточенны на:
- Вопросах аутентификации и авторизации
- Безопасной контролируемой сборке
-
Registry Staging
- Защищенном
registry
- Подписи образов
- Запуску только из разрешенного
registry
- Запрет на
push
из prod
кластера- и т.д.
И действительно дополнительным уровнем можно еще добавить мониторинг за операциями работы с образами и их слоями. На пример, когда:
- используется не типичный
user-agent
- работа проходит со странных адресов
- работа идет в нерабочее или не типичное время для данной операции
- имя образа не соответствует шаблону именования вашей компании
Кто-нибудь уже так делает или смотрел в эту сторону?
Наверняка, если вы проводите пентесты, то попав в изолированное и/или
Однако, ребята из
Так что, если проводите пентесты в облаках,
non-root
окружение, в первую очередь вы попытаетесь поднять себе привилегии. Скорее всего для этого вы будете использовать известный всем LinPEAS
(он кстати тоже частично может помочь, если вы оказались в докер контейнере или Kubernetes Pod
).Однако, ребята из
Hacktrics
пошли дальше и сделали набор скриптов – CloudPEASS. Эта штука представляет из себя набор python
скриптов для поднятия привилегий в облачных окружениях GCP
, AWS
и Azure
.Так что, если проводите пентесты в облаках,
CloudPEASS
– must have
!BLAFS - инструмент для исключения из образов всего лишнего, не нужного, постороннего для оптимизации размера, уменьшения поверхности атаки и уменьшения количества
Подробнее об инструменте можно узнать из его пейпера "The Cure is in the Cause: A Filesystem for Container Debloating".
В документе инструмент называется BAFFS (Bloat Aware File-System), но авторы потом переименовали и выложили по другому адресу. Для своей работы инструмент конвертирует образ контейнера в новый вид с новой ФС и уже с помощью нее понимает, что в образе не используется и можно выкинуть. Естественно для профилирования вам нужно запустить хорошие, полноценные
Идейно напоминает инструмент
CVE
в образе.Подробнее об инструменте можно узнать из его пейпера "The Cure is in the Cause: A Filesystem for Container Debloating".
В документе инструмент называется BAFFS (Bloat Aware File-System), но авторы потом переименовали и выложили по другому адресу. Для своей работы инструмент конвертирует образ контейнера в новый вид с новой ФС и уже с помощью нее понимает, что в образе не используется и можно выкинуть. Естественно для профилирования вам нужно запустить хорошие, полноценные
unit tests/integration tests
. Иначе профилирование будет не точное.Идейно напоминает инструмент
Slim/SlimToolKit/Mint
(о нем писали тут), и о с ним также проводится сравнение. Классно что новая предложенная техника также может быть использована вместе с lazy load
.GitHub
GitHub - negativa-ai/BLAFS: A tool for Container Debloating that removes bloat and improves performance.
A tool for Container Debloating that removes bloat and improves performance. - negativa-ai/BLAFS
Казалось – через
Однако, при взаимодействии с
Всё дело в том, что
В этом KEP есть подробная информация о том какие возможности дает тот или иной профиль. Более подробно эту тему поднял
P.S – также для
kubectl debug
можно довольно легко сбежать на Node
(если на это есть соответствующие права):
kubectl debug node/desktop-control-plane -it --image=busybox
chroot /host
Однако, при взаимодействии с
container runtime
сокетом, можно получить такие ошибки:
ctr: failed to unmount /tmp/containerd-mount2094132404: operation not permitted: failed to mount /tmp/containerd-mount2094132404: operation not permitted
Всё дело в том, что
ephemeral container
запускается с недостаточными привилегиями. И это можно исправить просто указав флаг --profile
:
kubectl debug node/desktop-control-plane -it --image=busybox --profile=sysadmin
В этом KEP есть подробная информация о том какие возможности дает тот или иной профиль. Более подробно эту тему поднял
Rory McCune
у себя в статье – Kubernetes Debug Profiles.P.S – также для
kubectl debug
можно передать параметр -n
и тогда debug контейнер запустится в указанном неймспейсе. Особенно удобно поднимать его в kube-system
, поскольку имя Pod
будет что-то вроде node-debugger-desktop-control-plane-9gd7q
и не привлечет много внимания, чего порой нужно добиться на пентесте.Всем, привет!
Уже завтра состоится конференция БеКон 2025!
Несколько небольших новостей:
1) Мы сделали черновой вариант настольной игры про контейнерную безопасность (130 карточек) и ее можно будет опробовать на стенде Luntry. Игра имеет и развлекательный, и обучающий характер. После правки баланса, опечаток и т.д. будет финальная версия - очень нужна обратная связь. В дальнейшем есть идеи и по дополнениям для новых карточек.
2) В рамках спикерпати будет огненный квиз от широко известных @IT_Friday и @tech_b0lt_Genona ;)
3) С утра будут доступны стикеры от нашего товарища
4) Появился каталог мерча - можете заказать у друзей кто будет на конфе, если вы не сможете присутствовать
5) Все новости, анонсы, слайды (они по прежнему будут публиковаться сразу как докладчик выходит на сцену) будут доступны тут @bekon_conf ! В комментариях к слайдам можно спрашивать свои вопросы и докладчики после выступления ответят на них. Таким образом, это возможность задать свои вопросы для тех кто на конференции присутствовать не может.
Уже завтра состоится конференция БеКон 2025!
Несколько небольших новостей:
1) Мы сделали черновой вариант настольной игры про контейнерную безопасность (130 карточек) и ее можно будет опробовать на стенде Luntry. Игра имеет и развлекательный, и обучающий характер. После правки баланса, опечаток и т.д. будет финальная версия - очень нужна обратная связь. В дальнейшем есть идеи и по дополнениям для новых карточек.
2) В рамках спикерпати будет огненный квиз от широко известных @IT_Friday и @tech_b0lt_Genona ;)
3) С утра будут доступны стикеры от нашего товарища
cyberfolk
, который выступал у нас в прошлом году. Успейте взять себе их с утра - их совсем немного.4) Появился каталог мерча - можете заказать у друзей кто будет на конфе, если вы не сможете присутствовать
5) Все новости, анонсы, слайды (они по прежнему будут публиковаться сразу как докладчик выходит на сцену) будут доступны тут @bekon_conf ! В комментариях к слайдам можно спрашивать свои вопросы и докладчики после выступления ответят на них. Таким образом, это возможность задать свои вопросы для тех кто на конференции присутствовать не может.
Всем, привет!
Сегодня проходит наша конференци БеКон 2025. Старт уже совсем скоро.
Слайды докладов и возможность спросить вопросы будет тут @bekon_conf
Сегодня проходит наша конференци БеКон 2025. Старт уже совсем скоро.
Слайды докладов и возможность спросить вопросы будет тут @bekon_conf
Статья OPA memory usage considerations and lessons from our transition to Kyverno описывает реальный опыт при использовании
В поисках более эффективного решения команда перешла на
OPA Gatekeeper
для управления политиками в Kubernetes
-кластерах и их переход на Kyverno
. Основной проблемой при масштабировании кластеров стало высокое потребление памяти OPA
, особенно при синхронизации большого количества объектов, таких как Pod
’ы или CronJob
’ы. Эти ограничения привели к увеличению нагрузку и ухудшению производительности, особенно в многопользовательских средах с высокой динамикой.В поисках более эффективного решения команда перешла на
Kyverno
— нативный для Kubernetes
механизм политик, который работает без необходимости синхронизировать данные и использует Kubernetes API
в реальном времени. Этот подход позволил значительно снизить потребление памяти (в одном случае — с 8 ГБ до 2.7 ГБ) и упростить поддержку политик.Карта по ИС ФСТЭК России 240-24-38.svg
803.1 KB
На этом БеКон 2025 была парочка замечательных релизов и одним из них является визуализация информационного сообщения ФСТЭК России 240/24/38 от Андрея Слепых. Можно изучить как саму карту, так и презентацию "Как соответствовать требованиям ФСТЭК, если у вас контейнеры и кластеры". И это будет полезно как тем кто идет на сертификацию, так и тем кто просто хочет повысить уровень безопасности своих микросервисных приложений.
У инструмента ctrsploit, который будет полезен при проведении пентеста
Уязвимость позволяет модифицировать файловую систему хоста при скачивании специально скрафченного образа. С помощью
Что примечательно, ранее в публичном доступе не было эксплойта под
Kubernetes
кластеров и о котором мы рассказывали на канале вышло очередное обновление! Автор расширил эксплоит пак и добавил туда сплойт для свежей CVE-2025-47290
под containerd
. Уязвимость позволяет модифицировать файловую систему хоста при скачивании специально скрафченного образа. С помощью
ctrsploit
можно собрать такой образ и модифицировать payload
по необходимости.Что примечательно, ранее в публичном доступе не было эксплойта под
CVE-2025-47290
. Уязвимость затрагивает только версию containerd 2.1.0
.kubernetesMiracle это специально уязвимое тестовое приложение от ребят из
В приложении есть:
1) Уязвимый
2) Мисконфиг в
3) Подмена образа в
4rays
, на котором можно как оттачивать свои атакующие навыки, так и тестировать используемые защитные меры и решения.В приложении есть:
1) Уязвимый
Wordpress
с CVE-2019-9978
2) Мисконфиг в
RBAC
3) Подмена образа в
image registry
Небольшая статья Am I Still Contained? от
Автор разбирает довольно старый инструмент amicontained (о котором мы не раз рассказывали на канале), который уже давно не обновлялся, и фиксит там проблему с определением системных вызовов
Новый работающий форк можно найти тут.
Rory McCune
повествующая о том, что нельзя полагаться на инструменты, которые всегда работают так, как работали раньше.Автор разбирает довольно старый инструмент amicontained (о котором мы не раз рассказывали на канале), который уже давно не обновлялся, и фиксит там проблему с определением системных вызовов
IO_URING
внутри контейнеров.Новый работающий форк можно найти тут.
В
2024
году мы писали про OCI
-совместимый runtime для FreeBSD jails, а в 2025
уже второй день все только что и обсуждают нативную поддержку Linux
контейнеров (видео, код 1 и 2) в macOS 26
=)