BLAFS - инструмент для исключения из образов всего лишнего, не нужного, постороннего для оптимизации размера, уменьшения поверхности атаки и уменьшения количества
Подробнее об инструменте можно узнать из его пейпера "The Cure is in the Cause: A Filesystem for Container Debloating".
В документе инструмент называется BAFFS (Bloat Aware File-System), но авторы потом переименовали и выложили по другому адресу. Для своей работы инструмент конвертирует образ контейнера в новый вид с новой ФС и уже с помощью нее понимает, что в образе не используется и можно выкинуть. Естественно для профилирования вам нужно запустить хорошие, полноценные
Идейно напоминает инструмент
CVE в образе.Подробнее об инструменте можно узнать из его пейпера "The Cure is in the Cause: A Filesystem for Container Debloating".
В документе инструмент называется BAFFS (Bloat Aware File-System), но авторы потом переименовали и выложили по другому адресу. Для своей работы инструмент конвертирует образ контейнера в новый вид с новой ФС и уже с помощью нее понимает, что в образе не используется и можно выкинуть. Естественно для профилирования вам нужно запустить хорошие, полноценные
unit tests/integration tests. Иначе профилирование будет не точное.Идейно напоминает инструмент
Slim/SlimToolKit/Mint (о нем писали тут), и о с ним также проводится сравнение. Классно что новая предложенная техника также может быть использована вместе с lazy load.GitHub
GitHub - negativa-ai/BLAFS: A tool for Container Debloating that removes bloat and improves performance.
A tool for Container Debloating that removes bloat and improves performance. - negativa-ai/BLAFS
❤12🔥10👍5
Казалось – через
Однако, при взаимодействии с
Всё дело в том, что
В этом KEP есть подробная информация о том какие возможности дает тот или иной профиль. Более подробно эту тему поднял
P.S – также для
kubectl debug можно довольно легко сбежать на Node (если на это есть соответствующие права):
kubectl debug node/desktop-control-plane -it --image=busybox
chroot /host
Однако, при взаимодействии с
container runtime сокетом, можно получить такие ошибки:
ctr: failed to unmount /tmp/containerd-mount2094132404: operation not permitted: failed to mount /tmp/containerd-mount2094132404: operation not permitted
Всё дело в том, что
ephemeral container запускается с недостаточными привилегиями. И это можно исправить просто указав флаг --profile:
kubectl debug node/desktop-control-plane -it --image=busybox --profile=sysadmin
В этом KEP есть подробная информация о том какие возможности дает тот или иной профиль. Более подробно эту тему поднял
Rory McCune у себя в статье – Kubernetes Debug Profiles.P.S – также для
kubectl debug можно передать параметр -n и тогда debug контейнер запустится в указанном неймспейсе. Особенно удобно поднимать его в kube-system, поскольку имя Pod будет что-то вроде node-debugger-desktop-control-plane-9gd7q и не привлечет много внимания, чего порой нужно добиться на пентесте.👍18🔥17❤5
Всем, привет!
Уже завтра состоится конференция БеКон 2025!
Несколько небольших новостей:
1) Мы сделали черновой вариант настольной игры про контейнерную безопасность (130 карточек) и ее можно будет опробовать на стенде Luntry. Игра имеет и развлекательный, и обучающий характер. После правки баланса, опечаток и т.д. будет финальная версия - очень нужна обратная связь. В дальнейшем есть идеи и по дополнениям для новых карточек.
2) В рамках спикерпати будет огненный квиз от широко известных @IT_Friday и @tech_b0lt_Genona ;)
3) С утра будут доступны стикеры от нашего товарища
4) Появился каталог мерча - можете заказать у друзей кто будет на конфе, если вы не сможете присутствовать
5) Все новости, анонсы, слайды (они по прежнему будут публиковаться сразу как докладчик выходит на сцену) будут доступны тут @bekon_conf ! В комментариях к слайдам можно спрашивать свои вопросы и докладчики после выступления ответят на них. Таким образом, это возможность задать свои вопросы для тех кто на конференции присутствовать не может.
Уже завтра состоится конференция БеКон 2025!
Несколько небольших новостей:
1) Мы сделали черновой вариант настольной игры про контейнерную безопасность (130 карточек) и ее можно будет опробовать на стенде Luntry. Игра имеет и развлекательный, и обучающий характер. После правки баланса, опечаток и т.д. будет финальная версия - очень нужна обратная связь. В дальнейшем есть идеи и по дополнениям для новых карточек.
2) В рамках спикерпати будет огненный квиз от широко известных @IT_Friday и @tech_b0lt_Genona ;)
3) С утра будут доступны стикеры от нашего товарища
cyberfolk, который выступал у нас в прошлом году. Успейте взять себе их с утра - их совсем немного.4) Появился каталог мерча - можете заказать у друзей кто будет на конфе, если вы не сможете присутствовать
5) Все новости, анонсы, слайды (они по прежнему будут публиковаться сразу как докладчик выходит на сцену) будут доступны тут @bekon_conf ! В комментариях к слайдам можно спрашивать свои вопросы и докладчики после выступления ответят на них. Таким образом, это возможность задать свои вопросы для тех кто на конференции присутствовать не может.
🔥25❤7👍4😢1
Всем, привет!
Сегодня проходит наша конференци БеКон 2025. Старт уже совсем скоро.
Слайды докладов и возможность спросить вопросы будет тут @bekon_conf
Сегодня проходит наша конференци БеКон 2025. Старт уже совсем скоро.
Слайды докладов и возможность спросить вопросы будет тут @bekon_conf
🔥42❤5👍3
Статья OPA memory usage considerations and lessons from our transition to Kyverno описывает реальный опыт при использовании
В поисках более эффективного решения команда перешла на
OPA Gatekeeper для управления политиками в Kubernetes-кластерах и их переход на Kyverno. Основной проблемой при масштабировании кластеров стало высокое потребление памяти OPA, особенно при синхронизации большого количества объектов, таких как Pod’ы или CronJob’ы. Эти ограничения привели к увеличению нагрузку и ухудшению производительности, особенно в многопользовательских средах с высокой динамикой.В поисках более эффективного решения команда перешла на
Kyverno — нативный для Kubernetes механизм политик, который работает без необходимости синхронизировать данные и использует Kubernetes API в реальном времени. Этот подход позволил значительно снизить потребление памяти (в одном случае — с 8 ГБ до 2.7 ГБ) и упростить поддержку политик.🔥29
Карта по ИС ФСТЭК России 240-24-38.svg
803.1 KB
На этом БеКон 2025 была парочка замечательных релизов и одним из них является визуализация информационного сообщения ФСТЭК России 240/24/38 от Андрея Слепых. Можно изучить как саму карту, так и презентацию "Как соответствовать требованиям ФСТЭК, если у вас контейнеры и кластеры". И это будет полезно как тем кто идет на сертификацию, так и тем кто просто хочет повысить уровень безопасности своих микросервисных приложений.
👍22🤮14🔥10❤5🥴3💩1
У инструмента ctrsploit, который будет полезен при проведении пентеста
Уязвимость позволяет модифицировать файловую систему хоста при скачивании специально скрафченного образа. С помощью
Что примечательно, ранее в публичном доступе не было эксплойта под
Kubernetes кластеров и о котором мы рассказывали на канале вышло очередное обновление! Автор расширил эксплоит пак и добавил туда сплойт для свежей CVE-2025-47290 под containerd. Уязвимость позволяет модифицировать файловую систему хоста при скачивании специально скрафченного образа. С помощью
ctrsploit можно собрать такой образ и модифицировать payload по необходимости.Что примечательно, ранее в публичном доступе не было эксплойта под
CVE-2025-47290. Уязвимость затрагивает только версию containerd 2.1.0.🔥17❤2
kubernetesMiracle это специально уязвимое тестовое приложение от ребят из
В приложении есть:
1) Уязвимый
2) Мисконфиг в
3) Подмена образа в
4rays, на котором можно как оттачивать свои атакующие навыки, так и тестировать используемые защитные меры и решения.В приложении есть:
1) Уязвимый
Wordpress с CVE-2019-99782) Мисконфиг в
RBAC3) Подмена образа в
image registry❤13👍8🔥5😁2✍1
Небольшая статья Am I Still Contained? от
Автор разбирает довольно старый инструмент amicontained (о котором мы не раз рассказывали на канале), который уже давно не обновлялся, и фиксит там проблему с определением системных вызовов
Новый работающий форк можно найти тут.
Rory McCune повествующая о том, что нельзя полагаться на инструменты, которые всегда работают так, как работали раньше.Автор разбирает довольно старый инструмент amicontained (о котором мы не раз рассказывали на канале), который уже давно не обновлялся, и фиксит там проблему с определением системных вызовов
IO_URING внутри контейнеров.Новый работающий форк можно найти тут.
👍10🔥2❤1
В
2024 году мы писали про OCI-совместимый runtime для FreeBSD jails, а в 2025 уже второй день все только что и обсуждают нативную поддержку Linux контейнеров (видео, код 1 и 2) в macOS 26 =)🔥16
Начинаем эту неделю со статьи Top 15 Kubectl plugins for security engineers in 2025, в которой
Из интересного – есть детальная таблица, которая поможет понять поддерживается ли плагин на данный момент, возможно ли работать с новыми версиями
Sysdig предлагают неплохую подборку krew плагинов для Security инженеров.Из интересного – есть детальная таблица, которая поможет понять поддерживается ли плагин на данный момент, возможно ли работать с новыми версиями
K8s и какой Use Case может решить плагин.1👍13🔥3🥰1
В одном из наших недавних постов мы уже рассказывали как мы сделали honeypot на базе Luntry. И вот недавно один из наших друзей поделился ссылкой на работу "HoneyKube: Designing and Deploying a Microservices-based Web Honeypot" (у данной работы и исходный код выложен на GitHub).
Чего-то супер примечательного и высоко технологичного там нет, но как само описание подхода и полученные результаты может быть интересно.
P.S. А сегодня-завтра можно пообщаться с нашей командой в рамках форума ITSEC, где будет отдельный поток по защите контейнеров ;)
Чего-то супер примечательного и высоко технологичного там нет, но как само описание подхода и полученные результаты может быть интересно.
P.S. А сегодня-завтра можно пообщаться с нашей командой в рамках форума ITSEC, где будет отдельный поток по защите контейнеров ;)
👍13🔥3❤2🥰1
Команда мейнтенеров
Проблема аффектит следующие версии
Исправления доступны в версиях:
Интересно, что ни команда
Go выпустила патчи для версий golang 1.21.11 и 1.22.4, устраняющие состояние гонки симлинков при использовании os.RemoveAll, однако это проблема затронула и Kubernetes. Kubernetes Security Response Committee получил отчет о том, что эта проблема может быть использована в Kubernetes для удаления произвольных директорий на Node с правами root.Проблема аффектит следующие версии
Kubernetes:- <1.30.2
- <1.29.6
- <1.28.11
- <1.27.15Исправления доступны в версиях:
- 1.30.2+
- 1.29.6+
- 1.28.11+
- 1.27.15+Интересно, что ни команда
Go, ни команда Kubernetes не присвоила CVE для этой проблемы.GitHub
Security Advisory: Race Condition in Go allows Volume Deletion in older Kubernetes versions · Issue #132267 · kubernetes/kubernetes
The Go team has released a fix in Go versions 1.21.11 and 1.22.4 addressing a symlink race condition when using os.RemoveAll. The Kubernetes Security Response Committee received a report that this ...
👍15🤣2🔥1
Хотим представить вашему вниманию Kubernetes security diagram (cheatsheet) (исходный код тут). Интересная попытка визаулизировать разные аспекты безопасности
Kubernetes на одной диаграмме. Диаграмма развивается и дополняется - это можно заметить по странице проекта. При желании туда можно и контребьютить ;)1🔥36👍10❤5🤔1
В завершении недели
При использовании
Уязвимости присвоен низкий уровень критичности по
Затграгивает версии:
Патчи доступны для:
В качестве меры митигации предлагается выключить
Kubernetes преподносит нам ещё одну уязвимость – CVE-2025-4563: Nodes can bypass dynamic resource allocation authorization checks.При использовании
feature gates DynamicResourceAllocation атакующий на скомпрометированной Node может создать mirror pod, чтобы получить доступ к unauthorized dynamic resources, что потенциально может привести к повышению привилегий.Уязвимости присвоен низкий уровень критичности по
CVSS.Затграгивает версии:
- kube-apiserver: v1.32.0 - v1.32.5
- kube-apiserver: v1.33.0 - 1.33.1Патчи доступны для:
- kube-apiserver >= v1.32.6
- kube-apiserver >= v1.33.2В качестве меры митигации предлагается выключить
feature gate DynamicResourceAllocation.GitHub
CVE-2025-4563: Nodes can bypass dynamic resource allocation authorization checks · Issue #132151 · kubernetes/kubernetes
CVSS Rating: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L - Low (2.7) A vulnerability exists in the NodeRestriction admission controller where nodes can bypass dynamic resource allocation authoriza...
👍9🔥3🥰2❤1
Начнем неделю со статьи "ETCD Production setup with TLS", которая представляет из себя небольшую инструкцию по настройке
Инструкция описывает построение защищенного
ETCD.Инструкция описывает построение защищенного
3-х нодового ETCD кластера, используя OpenSSL с полным TLS шифрованием (peer/client), управлением CA и настройкой systemd.Medium
ETCD Production setup with TLS
A step-by-step guide to setting up a secure ETCD cluster with SSL/TLS using OpenSSL, tailored for Kubernetes and PostgreSQL Patroni…
👍14🔥7🥰1🥴1
Сегодня расскажем про очередной новый оператор – Kubeconfig Operator.
Может быть полезно, когда нет нормального
Kubeconfig Operator генерирует конфиги с ограничениями, которые можно гранулярно раздавать на уровне кластера. Оператор позволяет устанавливать конкретные ограничения в RBAC, namespace, а также устанавливать expiration time.Может быть полезно, когда нет нормального
Identity Provider, но дать доступ в кластер очень нужно.👍23❤2🔥2🥰2
Сегодня у нас рубрика "А знали ли вы?".
А знали ли вы что в банке данных угроз безопасности информации от ФСТЭК на текущий момент
- УБИ. 223 "Угроза несанкционированного доступа к контейнерам, предоставляющего пользователям расширенные привилегии"
- УБИ. 224 "Угроза нарушения целостности (подмены) контейнеров"
- УБИ. 225 "Угроза нарушения изоляции контейнеров"
- УБИ. 226 "Угроза внедрения вредоносного программного обеспечения в контейнеры"
- УБИ. 227 "Угроза модификации (подмены) образов контейнеров"
Конечно, тут далеко не все, но начало уже положено и радостно что нашу тему активно начинают везде добавлять и упоминать ;)
P.S. Честно сами узнали об этом совсем недавно пока помогали студентам в рамках нашей кураторской программы в процессе защит их дипломов. То есть не только мы помогаем и учим, но и сами учимся =)
А знали ли вы что в банке данных угроз безопасности информации от ФСТЭК на текущий момент
227 угроз и последние 5 (можно сказать самые последние добавленные) посвящены контейнерным угрозам!- УБИ. 223 "Угроза несанкционированного доступа к контейнерам, предоставляющего пользователям расширенные привилегии"
- УБИ. 224 "Угроза нарушения целостности (подмены) контейнеров"
- УБИ. 225 "Угроза нарушения изоляции контейнеров"
- УБИ. 226 "Угроза внедрения вредоносного программного обеспечения в контейнеры"
- УБИ. 227 "Угроза модификации (подмены) образов контейнеров"
Конечно, тут далеко не все, но начало уже положено и радостно что нашу тему активно начинают везде добавлять и упоминать ;)
P.S. Честно сами узнали об этом совсем недавно пока помогали студентам в рамках нашей кураторской программы в процессе защит их дипломов. То есть не только мы помогаем и учим, но и сами учимся =)
👍19🔥8❤1😁1
В AIStore Operator от
Уязвимости присвоен
Уязвимы все версии
NVIDIA нашли уязвимость, связанную с избыточными привилегиями RBAC. Service Account, используемый оператором обладал правами на чтение и листинг секретов и конфигмап, что могло привести к раскрытию чувствительной информации.Уязвимости присвоен
CVE-2025-23260 и оценку 5.0 по CVSS(Medium).Уязвимы все версии
AIStore Operator до 2.3.0.👍10🔥3🥰3
Ребята из
На наш взгляд это может быть полезно не только тем кто живет в
AWS сделали Threat Technique Catalog для своего облака. Этот каталог явно вдохновлялся матрицей угроз от MITRE, но содержит как известные техники, так и те что обнаружил AWS CIRT. Всего представлено на сегодняшний день 70 техник.На наш взгляд это может быть полезно не только тем кто живет в
AWS, но и вообще в облаках (так или иначе все можно принести на свое облако) и самим облачным провайдерам, чтобы понимать где у них и их клиентов могут быть проблемы.🔥11👍7❤1