Начинаем эту неделю со статьи Top 15 Kubectl plugins for security engineers in 2025, в которой Sysdig предлагают неплохую подборку krew плагинов для Security инженеров.

Из интересного – есть детальная таблица, которая поможет понять поддерживается ли плагин на данный момент, возможно ли работать с новыми версиями K8s и какой Use Case может решить плагин.

В одном из наших недавних постов мы уже рассказывали как мы сделали honeypot на базе Luntry. И вот недавно один из наших друзей поделился ссылкой на работу "HoneyKube: Designing and Deploying a Microservices-based Web Honeypot" (у данной работы и исходный код выложен на GitHub).

Чего-то супер примечательного и высоко технологичного там нет, но как само описание подхода и полученные результаты может быть интересно.

P.S. А сегодня-завтра можно пообщаться с нашей командой в рамках форума ITSEC, где будет отдельный поток по защите контейнеров ;)

Команда мейнтенеров Go выпустила патчи для версий golang 1.21.11 и 1.22.4, устраняющие состояние гонки симлинков при использовании os.RemoveAll, однако это проблема затронула и Kubernetes.

Kubernetes Security Response Committee получил отчет о том, что эта проблема может быть использована в Kubernetes для удаления произвольных директорий на Node с правами root.

Проблема аффектит следующие версии Kubernetes:

- <1.30.2
- <1.29.6
- <1.28.11
- <1.27.15

Исправления доступны в версиях:

- 1.30.2+
- 1.29.6+
- 1.28.11+
- 1.27.15+

Интересно, что ни команда Go, ни команда Kubernetes не присвоила CVE для этой проблемы.

Хотим представить вашему вниманию Kubernetes security diagram (cheatsheet) (исходный код тут). Интересная попытка визаулизировать разные аспекты безопасности Kubernetes на одной диаграмме. Диаграмма развивается и дополняется - это можно заметить по странице проекта. При желании туда можно и контребьютить ;)

В завершении недели Kubernetes преподносит нам ещё одну уязвимость – CVE-2025-4563: Nodes can bypass dynamic resource allocation authorization checks.

При использовании feature gates DynamicResourceAllocation атакующий на скомпрометированной Node может создать mirror pod, чтобы получить доступ к unauthorized dynamic resources, что потенциально может привести к повышению привилегий.

Уязвимости присвоен низкий уровень критичности по CVSS.

Затграгивает версии:

- kube-apiserver: v1.32.0 - v1.32.5
- kube-apiserver: v1.33.0 - 1.33.1

Патчи доступны для:

- kube-apiserver >= v1.32.6
- kube-apiserver >= v1.33.2

В качестве меры митигации предлагается выключить feature gate DynamicResourceAllocation.

Начнем неделю со статьи "ETCD Production setup with TLS", которая представляет из себя небольшую инструкцию по настройке ETCD.

Инструкция описывает построение защищенного 3-х нодового ETCD кластера, используя OpenSSL с полным TLS шифрованием (peer/client), управлением CA и настройкой systemd.

Сегодня расскажем про очередной новый оператор – Kubeconfig Operator.

Kubeconfig Operator генерирует конфиги с ограничениями, которые можно гранулярно раздавать на уровне кластера. Оператор позволяет устанавливать конкретные ограничения в RBAC, namespace, а также устанавливать expiration time.

Может быть полезно, когда нет нормального Identity Provider, но дать доступ в кластер очень нужно.

Сегодня у нас рубрика "А знали ли вы?".

А знали ли вы что в банке данных угроз безопасности информации от ФСТЭК на текущий момент 227 угроз и последние 5 (можно сказать самые последние добавленные) посвящены контейнерным угрозам!

- УБИ. 223 "Угроза несанкционированного доступа к контейнерам, предоставляющего пользователям расширенные привилегии"
- УБИ. 224 "Угроза нарушения целостности (подмены) контейнеров"
- УБИ. 225 "Угроза нарушения изоляции контейнеров"
- УБИ. 226 "Угроза внедрения вредоносного программного обеспечения в контейнеры"
- УБИ. 227 "Угроза модификации (подмены) образов контейнеров"

Конечно, тут далеко не все, но начало уже положено и радостно что нашу тему активно начинают везде добавлять и упоминать ;)

P.S. Честно сами узнали об этом совсем недавно пока помогали студентам в рамках нашей кураторской программы в процессе защит их дипломов. То есть не только мы помогаем и учим, но и сами учимся =)

В AIStore Operator от NVIDIA нашли уязвимость, связанную с избыточными привилегиями RBAC. Service Account, используемый оператором обладал правами на чтение и листинг секретов и конфигмап, что могло привести к раскрытию чувствительной информации.

Уязвимости присвоен CVE-2025-23260 и оценку 5.0 по CVSS(Medium).

Уязвимы все версии AIStore Operator до 2.3.0.

Ребята из AWS сделали Threat Technique Catalog для своего облака. Этот каталог явно вдохновлялся матрицей угроз от MITRE, но содержит как известные техники, так и те что обнаружил AWS CIRT. Всего представлено на сегодняшний день 70 техник.

На наш взгляд это может быть полезно не только тем кто живет в AWS, но и вообще в облаках (так или иначе все можно принести на свое облако) и самим облачным провайдерам, чтобы понимать где у них и их клиентов могут быть проблемы.

Всем, привет!

10 июля наша команда Luntry проведет вебинар на тему "Предотвращение Runtime угроз в контейнерах и Kubernetes". Расскажем и покажем как вообще можно не доводить дело до инцидентов и спать спокойно ;)

Зарегистрироваться можно тут.

Всем, хороших выходных!

В статье Kubernetes Troubleshooting: Fixing Pod Issues with Restricted UID in securityContext автор рассказывает о проблемах, с которыми он столкнулся при попытке запустить Pod в Kubernetes от имени непривилегированного пользователя с помощью параметра securityContext.runAsUser, используя образ nginx.

Попытки указать случайный UID или даже правильный (например, 101 для пользователя nginx) приводили к ошибкам доступа к файлам и директориям. Решение было найдено через использование initContainers, которые изменяют права на нужные каталоги до запуска основного контейнера, а также корректировку команды запуска, чтобы избежать операций, требующих root-доступа. Однако самым надёжным способом оказалось создание собственного Docker-образа с директивой USER и заранее подготовленными правами доступа.

В процессе автор подробно разобрал, как работает kubectl logs, как взаимодействуют kubelet и API-сервер, и как грамотно настроить безопасность в Kubernetes.

Всем, привет!

Наша команда Luntry продолжает расти и защищать важные контейнерные инфраструктуры на Kubernetes. А сейчас мы в поисках Middle/Senior Go Developer. Если вы не просто пишете на Go, но и понимаете как он работает под капотом, если HighLoad для вас не просто слова, а повседневные будни, то мы с радостью рассмотрим вас к нам в команду!

Откликнуться можно как на HH, так и написать в личку контакту данного канала ;)

Из замечательной заметки "How It Works — Validating Admission Policy" вы узнаете:
1) Как реализованы данные политики в виде Kubernetes controller и admission plugin, пройдя по исходному коду Kubernetes API Server
2) Как и какую гибкость дают правила на Common Expression Language (CEL)
3) Какие Prometheus метрики доступны из коробки (policy violation count и latency)

Напомним, что с версии 1.30 механизм уже находиться в статусе stable. И он как минимум сделает все проприетарные решения класса policy engine бесполезными с их vendor lock. Ну а open source реализации уже адаптируются к этому быстро меняющемуся миру - об этом мы писали тут.

Если вы работали с Argo CD, то наверняка в курсе, что ролевая модель задается в configmap argo-rbac-cm. Для того чтобы задавать права пользователей нужно каждый раз её править, что в случае больших команд инженеров не всегда удобно.

Для такого случая есть Argo CD RBAC Operator, который позволяет через кастомные ресурсы управлять ролевой моделью Argo.

Более подробно о том как работает оператор можно почитать в этой статье. Сам оператор можно найти здесь.

yardstick - инструмент для сравнения результатов сканирования сканеров уязвимостей. Из коробки поддерживает grype, syft. И можно добавлять другие сканеры самостоятельно. Потом смотреть качество результатов сканирования как в рамках одного сканера и различных версий, так между разными сканерами.

В статье Building Docker Images Without Root or Privilege Escalation автор рассказывает о способе сборки docker образов в условиях строгих ограничений, без root прав и возможности повышения привилегий.

Для сборки используется виртуализация QEMU для инкапсуляции docker buildkit внутри microVM.

Несколько дней назад наши друзья достаточно сильно обновили свой фреймворк Jet Container Security Framework (JCSF).

Если вы не знаете, что это, для чего это и как с этим работать, то мы в феврале проводили совместный вебинар "Фреймворк безопасности контейнеров JCSF" (слайды, видео), где это все обсуждали и обсуждали как его можно улучшить и поправить. Здорово что многое из того было учтено в новом релизе!

На прошлой неделе прошла конференция fwd:cloudsec North America 2025.

Спикеры представили крутейшие доклады по тематике Cloud Security, затронув AWS, Azure и GCP. Однако, контейнеры и Kubernetes также не обошли стороной.

Тут хотим отметить доклад The Good, the Bad, and the Ugly: Hacking 3 CSPs with 1 Vulnerability от инженеров из WIZ. В докладе они рассказали про то, где им удалось проэксплуатировать ранее найденную ими и нашумевшую CVE-2024-0132 в NVIDIA Container Toolkit, позволяющую реализовать побег из контейнера.

Все видео с fwd:cloudsec North America 2025 можно найти в этом плейлисте.

P.S – для тех кто еще не видел, вот тут можно прочитать наш разбор CVE-2024-0132.

В поле нашего внимания попала статья "Securing Kubernetes Using Honeypots to Detect and Prevent Lateral Movement Attacks" от авторов проекта Beelzebub. Данный проект это фреймворк для создания высоко интерактивных honeypots с помощью low code с применением AI. С достаточно небольшими трудозатратами можно делать сервисы мимикрирующие под тот же ssh или даже под kube-apiserver.

С первого взгляда звучит как проект, который собрал в себя все хайпое (или bullshit bingo). Но идея мимикрирования под легитимные, хорошо известные сервисы силами AI явно интересная и имеет право на жизнь.