21 марта 2026 года в Амстердаме прошла конференция Cloud Native Rejekts EU 2026 (запись 1 зала, 2 зала) и естественно были доклады и по информационной безопасности, касающиеся контейнеров и Kubernetes. Мы для вас выделили наиболее интересные:
- "Hardening Kubernetes: Our Journey to FIPS Compliance" - практические аспекты внедрения строгих криптографических стандартов в Kubernetes-инфраструктуре.
- "Type 1 Fun with Type 1 Hypervisors: The Comeback of Hardware-Backed Isolation" - архитектура с аппаратно-поддерживаемой виртуализацией как к способу обеспечения более строгой изоляции в облачных окружениях
- "Achieving Platform Engineering Multi-Tenancy with kcp and Crossplane" - архитектурные подходы к обеспечению безопасной многопользовательской среды в Kubernetes
- "Unleashing the Tides of Kubernetes Networking by Removing kube-proxy" - как удаление kube-proxy может улучшить производительность и безопасность Kubernetes сети
- "Sherlock Pods: Investigating a Compromised Kubernetes Cluster" - про форензику скомпрометированного кластера
- "Push the boundaries of kubernetes multi tenancy with container runtimeclasses" - как и что работает при использование RuntimeClasses

P.S. А мы уже во всю готовим анонс докладов с предстоящего БеКон 2026!

k8scout — это экспериментальный open source инструмент для offensive security в Kubernetes, который строит граф атак и помогает понять возможные пути эскалации после первоначального доступа.

Проект фокусируется именно на пост-эксплуатации: анализирует права, роли и связи (pod → service account → role → доступ), а также ищет потенциальные векторы lateral movement вроде impersonation или доступа к секретам. Это позволяет быстро ответить на ключевые вопросы атакующего — какие есть привилегии и куда можно двигаться дальше внутри кластера.

RootlessKit — инструмент, который позволяет запускать контейнеры без прав суперпользователя (root). Он создает изоляцию и видимость "мнимого root" (fakeroot), защищая основную операционную систему хоста от потенциальных угроз и атак через контейнеры.

Основные функции:
- Пространства имен (Namespaces): Создает изолированные пространства имен пользователей (user_namespaces) и точек монтирования (mount_namespaces).
- Мапинг UID/GID: Вызывает системные утилиты newuidmap и newgidmap для распределения диапазонов подчиненных идентификаторов (subuid/subgid) пользователя в пространстве контейнера.
- Сетевая изоляция: Поддерживает создание изолированных сетевых пространств (network_namespaces) с трансляцией сетевых адресов (NAT) на уровне пользователя, используя такие драйверы, как slirp4netnsили gvisor-tap-vsock.

Проект активно применяется в качестве базового компонента для изоляции в популярных экосистемах контейнеризации:
- Docker / Moby — при запуске демона в официальном режиме Rootless.
- Podman — начиная с версии 1.8.0.
- BuildKit — инструмент сборки образов нового поколения.
- K3s и Usernetes — легковесные дистрибутивы Kubernetes.
- nerdctl — Docker-совместимый интерфейс командной строки для containerd.

Unpatchable Vulnerabilities of Kubernetes: CVE-2020-8562 – очередная статья про unpatchable CVE в Kubernetes. Речь о баге в API server proxy, который позволяет обойти защитные фильтры и обращаться к внутренним сервисам кластера через SSRF подобную атаку.

Kubernetes дважды резолвит DNS (для проверки и для запроса), и атакующий может подменить ответ между этими шагами. Это дает возможность обходить ограничения и получать доступ к чувствительным ресурсам вроде localhost или metadata сервисов через DNS rebinding.

Эксплуатация требует повышенных прав (например, создание Node и доступ к proxy). Полностью устранить проблему нельзя — только снизить риски (например, через минимальный TTL DNS или Konnectivity).

Недавно наткнулись на интересный доклад "Lateral Movements in Kubernetes" от исследователя из Microsoft c RSA Conference 2023.

Доклад будет полезен как пентестерам, так и специалистам SOC, да и вообще всем кто защищает кластера Kubernetes.

Речь в докладе заходит и про Threat Matrix for Kubernetes от Microsoft.

Вышел Kubernetes 1.36 под кодовым названием Haru. И как обычно, мы рассказываем про улучшения и обновления с точки зрения security.

Главное «ломающее» изменение — постепенный отказ от externalIPs, так как механизм позволял перехватывать трафик и создавать MITM-атаки. Также усиливается валидация IP/CIDR и обновляется работа с сертификатами, что снижает риск некорректных конфигураций.

Среди новых security фич — constrained impersonation (ограничение прав при impersonation) и flagz endpoint для аудита параметров запуска компонентов. Они делают контроль доступа и проверку конфигурации кластера более прозрачными и безопасными по умолчанию.

Дополнительно в stable выходят user namespaces и более гранулярная авторизация Kubelet API, что помогает соблюдать принцип наименьших привилегий.

На прошлой неделе вышла новая версия Kubernetes 1.36 и в официальном блоге K8s сразу, друг за другом вышло 3 заметки посвящённые новым security улучшениям. Два из которых в данной версии и еще одно для предстоящей:
- "SELinux Volume Label Changes goes GA (and likely implications in v1.37)"
- "Kubernetes v1.36: User Namespaces in Kubernetes are finally GA"
- "Kubernetes v1.36: Fine-Grained Kubelet API Authorization Graduates to GA"

Такая концентрация и ориентир на развитие безопасности в Kubernetes не может не радовать)

KubeUser — это Kubernetes оператор для управления пользователями, доступами и kubeconfig без Keycloak, Dex и других тяжёлых IAM решений. Вместо ручной выдачи сертификатов и RBAC всё описывается декларативно через User CRD, а оператор сам создаёт доступы и готовый kubeconfig.

Проект может быть полезен для небольших DevOps команд, где полноценный IdP — это избыточно, а ручное управление доступами быстро превращается в хаос.

KubeUser использует стандартный Kubernetes CSR API, автоматически создаёт RoleBinding и ClusterRoleBinding, а kubeconfig сохраняет как Secret внутри кластера.

Isopolicy — CLI инструмент от разработчиков Cilium для упрощения управления, проверки и тестирования Network Policy от Cilium в Kubernetes.

Основные функции:
- Статический анализ и проверка синтаксиса: Выполняет статический анализ политик для выявления распространенных ошибок конфигурации, таких как отсутствующие labels или непреднамеренные наложения.
- Моделирование политик: Включает команду моделирования, которая создает среду «что если». Это позволяет операторам предварительно оценить, как новые, измененные или удаленные политики повлияют на доступ к сети для разных идентификаторов или namespaces, не затрагивая работающий кластер.
- Историческая проверка: При подключении к Hubble Timescape может воспроизводить исторические потоки трафика, чтобы показать, как различные политики обрабатывали бы прошлый трафик, повышая общую «чистоту политик».
- Интеграция с GitOps: Может быть интегрирован в конвейеры CI/CD для автоматической проверки синтаксиса политик во время PR, блокируя мерджи, содержащие неподдерживаемые конструкции или очевидные ошибки.

Примеры использование можно посмотреть тут и тут.

PII-Shield — open-source инструмент для защиты логов и данных от утечки персональной информации прямо в Kubernetes . Он работает как sidecar контейнер, перехватывает stdout/stderr, находит секреты и чувствительные данные до того, как они попадут в лог-системы.

Сочетание Shannon Entropy для поиска неизвестных секретов (токены, API-ключи, пароли) и O(1) regex для точного детектирования известных паттернов снижает false positive и позволяет находить даже то, что не было заранее описано правилами.

PII-Shield работает полностью локально, без API вызовов наружу, с почти нулевой нагрузкой на GC. Интересный проект, чтобы попробовать безопасно коррелировать логи между сервисами, не раскрывая реальные данные.

cpg - инструмент для генерации Cillium Network Policy с помощью данных от hubble relay.

Алгоритм работы инструмента чрезвычайно прост - анализ DROPPED потоков и формирование из этого новых изменений для Cillium Network Policy.

Можно настроить для:
- определенного namespace
- всех namespace
- с учетом L7
- offline генерации на базе записанного флоу

Еще бы hubble relay не ел ресурсы как конь, то было бы совсем замечательно, но Network Policy это уже точно стандарт де-факто для сетевой безопасности в Kubernetes. Если вы не используете Network Policy, то считайте нет у вас и сетевой безопасности.

Всем, привет!

До нашей конференции БеКон 2026 осталось чуть меньше месяца!

И наша команда и спикеры активно готовимся несмотря на праздники и длинные выходные =)
На сайте конференции вы уже можете увидеть список всех 15 докладов (+1 секретный), которые мы еще отдельно презентуем!

Ровно перед майскими праздниками выстрелила и сильно прошумела CVE-2026-31431. Уязвимость в ядре позволяет проэксплуатировать LPE (Local Privilege Escalation) на почти всех дистрибутивах с 2017 года. Все говорят об LPE, но мало кто отмечает, что эту же уязвимость можно использовать для побега из контейнера в Kubernetes.

Во-первых, об этом заявляют сами исследователи, которые обнаружили уязвимость. Обещают выпустить статью в блоге на этот счет (пока ещё не выпустили).

Во-вторых, бага использует проблему в работе с кэшем страниц в ядре, а поскольку кэш страниц является общим для всех процессов на хосте, в том числе и за пределами контейнеров, скомпрометированный контейнер может повредить бинарные файлы с правами setuid, доступные другим контейнерам и ядру хоста.

В качестве PoC советуем ознакомиться с репозиторием – Copy Fail (CVE-2026-31431) — Kubernetes Container Escape PoC.

P.S. Мы также подтверждаем применимость этого в реальных условиях: в рамках аудита Kubernetes кластера нам удалось успешно использовать эксплойт. Демонстрацию можно увидеть на видео из нашего тестового окружения.

Для любителей Wazuh в их блог посте в этом году появилось 3 статья о его использовании при обеспечении безопасности Kubernetes:
- "Detecting Kubernetes attacks with Wazuh"
- "Detecting Kubernetes misconfigurations with KubeLinter and Wazuh"
- "Auditing Kubernetes with Wazuh"

На своей практике Wazuh мы не встречаем, но как бы то ни было в подобных статья всегда можно что-то подсмотреть под себя и переложить на вой стек, подход.

Всем, привет!

Подготовка к нашей конференции БеКон 2026 идет полным ходом:
- доклады опубликованы,
- расписание верстается,
- партнеры подписываются,
- первый мерч готовится,
- стикерпак печатается!

Как всегда мы вложили душу в наш оригинальный стикерпак и ждет всех посетителей конференции.

До 2 июня уже не так-то и много времени осталось ;)

В Kubernetes v1.36 появилась новая альфа фича — manifest-based admission control, которая переносит конфигурацию admission-политик из etcd в манифесты на стороне API сервера. Это решает архитектурную проблему, когда система безопасности хранилась в том же месте, которое она защищает.

Политики загружаются с диска ещё до старта API сервера, а не после. Это закрывает “startup gap”, когда кластер мог принимать запросы без применённых правил, а также снижает риск их удаления злоумышленником или проблем при падении etcd.

Более подробней об этом подходе и как он работает можно узнать из заметки "Kubernetes v1.36: Admission Policies That Can't Be Deleted".

Всем, привет!

Нам нужно исправить одно недоразумение ... Мы до сих пор не разыграли билет(ы) на нашу конференцию БеКон 2026. Давайте это исправим ;)

Конкурс: "Что было дальше?".
Ситуация: Закрытый контур. Сертифицированная ОС, сертифицированный Kubernetes.
Задание: Придумайте почему и из-за чего там произошел серьезный инцидент информационной безопасности в кластере Kubernetes.
Критерий оценки :
- Реалистичность ситуации
- Оригинальность сюжета
- Технические детали инцидента
Итоги: 14 мая.

Всем хороших выходных!

Продолжая освещать возможность эксплуатации CVE-2026-31431 (Copy Fail) для побега из контейнера, нельзя не упомянуть что и свежая CVE-2026-43284 (Dirty Frag) также открывает возможности для container escape.

На канале мы уже отмечали инструмент ctrsploit. В свежем обновлении там добавилось два новых модуля, позволяющих проэксплуатировать CVE-2026-31431 и CVE-2026-43284 в контексте container escape.

Всем, привет!

Ну что начнем представлять и немного рассказывать про доклады БеКон 2026! начнем эту серию с докладов нового трека ("Рецепты"), который посвящён выстраиванию процессов и работе с людьми, командами. Этот трек в первую очередь будет интересен и полезен для С-level, `Leads,
которые продумывают и выстраивают все в компании.

В итоге мы отобрали следующие доклады:
- "Зачем бизнесу нужна отдельная команда защиты Kubernetes?", Николай Панченко
- "SecK8S: от хаоса к системе", Черток Александр (Альфа-Банк)
- "Фреймворк JCSF: zero to hero в контейнерах", Селезнев Дмитрий (Инфосистемы Джет)
- "ФСТЭК и контейнеры: от заявки до сертификата", Андрей Слепых и Анатолий Карпенко (Фобос-НТ и Luntry)
- "Как не убить кластер и безопасность исключениями", Кунавин Валерий (Озон Банк)

На нашем сайте Luntry стали доступны материалы с выступления «Уязвимости в контейнерах и Kubernetes: правим, а не страдаем» (слайды, видео) с конференции CISO FORUM 2026 (Трек B. Когда атака — вопрос времен).

В рамках презентации были рассмотрены реактивный и проактивный подход по работе с уязвимостями. И все это на актуальной волне с гигантским количеством уязвимостей, их качеством описания, полнотой (проблемы с NIST NVD), приоритезацией и тем что AI (проекты типа XBOW, Claude Mythos) значительно ускоряют атакующего (как разработку 1day эксплоита по патчу, так и в нахождении 0day и автоматизации самой атаки).

Еще одним аргументом про изменение работы с уязвимостями (теперь как раньше уже не будет никогда) является последняя новость с легендарного соревнования pwn2own, где исследователи представляют свои 0day цепочки в самом популярном и желанном ПО. Новость в том что они просто не могут принять всех желающих на соревнование и отправляют отказы с просьбой самостоятельно с вендором разбираться в уязвимостях. В общем, buffer overflow по количеству 0day ....

P.S.Среди уязвимостей можно увидеть и уязвимости в стеке контейнеризации ...

Череда уязвимостей в ядре, приводящих к LPE и container escape продолжается.

На этот раз – fragnesia. Это новая LPE уязвимость из семейства Dirty Frag/Dirty Pipe, позволяющая локальному пользователю получить root через corruption page cache в подсистеме XFRM ESP-in-TCP. Эксплойт не требует race condition и работает как deterministic logic bug, что делает эксплуатацию особенно стабильной и опасной.

Интересно, что fragnesia появилась как побочный эффект одного из патчей для Dirty Frag. CVE пока не назначена, а фикс пока только в виде небольшого patchset, который ещё не успел попасть во все mainstream kernel releases.

P.S. Сегодня последний день подать свой вариант на конкурс и выиграть билет на нашу конференцию БеКон 2026.