🔺 Ускоряем пентест CI/CD

Пост должен был выйти чуть позже, но увидев, что скоро начнется соревнование для попадания на Standoff 13 👨‍💻 я решил выпустить его чуть раньше. Он может вам пригодиться, особенно, если оценивать прошлый год.

В последние годы пентестеры все больше обращают внимание на присутствие платформ DevOps, а уже и DevSecOps. Эти экосистемы состоят из различных сервисов, используемых в конвейерах CI/CD, включая:

🔵 Репозитории исходного кода (Gitlab, Gitea)

🔵 Реестры контейнеров (Docker Registry, Sonatype Nexus, JFrog)

🔵 Серверы автоматизации (Gitlab-CI, Jenkins)

🔵 Инструменты для обеспечения качества и безопасности кода (много об этом говорили).

⏱ Перспективы копать именно под CI/CD: Возможности и проблемы

Для злоумышленников и пентестеров экосистема CI/CD представляет собой "обоюдоострый меч" — богатство информации и потенциальные точки входа. Слияние множества сервисов, от репозиториев до серверов автоматизации, хранит в себе кучу данных, включая исходный код, образы контейнеров и различные учетные данные 🌐. Такая среда облегчает горизонтальное перемещение, а скомпрометированные API-токены открывают путь для дальнейшей эксплуатации.

Мой личный опыт работы показывает, что компрометация облачных сервисов через CI/CD — это быстрый путь к эскалации. (привет уязвимостям в GitLab 🤗)

📕

Пример таких уязвимостей:

CVE-2022-2185 — ТЫК
CVE-2021-22205 — ТЫК
CVE-2023-5009 — ТЫК
CVE-2023-7028 — ТЫК
CVE-2024-0402 — ТЫК

Но тут возникают сложности... множество целей в экосистеме CI/CD, зависимость от официальных API для атак и огромный объем данных требуют стратегического и автоматизированного подхода.

😜 Виновник поста или швейцарский нож для тестирования на проникновение в CI/CD

💻 Сразу ссылка на инструмент — ТЫК

Epyon был представлен в 2022 году как универсальный инструмент для работы пентестеров в экосистемах CI/CD. Разработанный на языке 💻, включает в себя ряд модулей, предназначенных для взаимодействия с распространенными системами DevOps, и легко интегрируется с такими инструментами, как Gitleaks и TruffleHog, для улучшения разведки и эксплуатации (именно этим мне он и понравился).

Модули Epyon охватывают широкий спектр, включая:

1. Gitlab
2. Github
3. Jenkins
4. Azure DevOps
5. Sonatype Nexus
6. Docker Registry
7. Sonarqube
8. Gitea
9. Artifactory
10. Terraform Cloud/Enterprise

✏️ Перейдем к тестам

Я протестировал его в своей домашней лаборатории, изучив модули Gitlab(community), Jenkins, Nexus(community) и Docker Registry (про него и поговорим).

Изначально хотел проверить на Gitlab, но столкнулся с проблемой. У меня слишком много проектов, которые пришлось бы скрывать, чтобы не показывать спойлеры для будущих проектов и стратап-идей.

Пример: HTTP API Docker Registry.

Команда epyon registry может быть использована для взаимодействия с реестром Docker:

Epyon позволяет пользователям легко взаимодействовать с API реестра и получать информацию о нескольких образах контейнеров. Следующий список показывает шаги, которые были выполнены в этом примере:

⏩ Шаг 01: Получить список образов

Опция list-images может быть использована для перечисления всех образов контейнеров.

⏩ Шаг 02: Получить теги для каждого образа

Опция list-tags получит все доступные теги для каждого образа.

⏩ Шаг 03: Скачать образы контейнеров

Опция download-images загрузит и извлечет содержимое образа (загруженные файлы будут помещены в каталог, указанный в файле config.yaml).

⏩ Шаг 04: Поиск учетных данных

Недавно в каком-то из чатов спрашивали про поиск учеток в докере. Так вот, как там и ответил, я буду использовать Trufflehog.

🥂 Profit

Вот нами уже и найдены login/pass, api key и много других критически важных артефактов

🛡 Заключение

В нашем деле важно уметь сокращать время, затрачиваемое на выполнение рутинных задач. И данный инструмент с этим справляется как нельзя кстати. Из минусов хочу отметить отсутствие тонкой настройки работы через конфиг, хотя сделать это через библиотеку go viper достаточно просто.

#redteam