[Информационная безопасность, DevOps, Микросервисы] Анонс: Ломаем приложение в Docker и строим безопасный пайплайн в Gitlab

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
18-Ноя-2020 13:31

20 ноября пройдет ежегодная конференция Archdays, где мы c Пашей Канн в рамках демонстрации покажем пример того, как может быть взломано приложение в Docker и как с нуля собрать пайлпайн с проверками безопасности на базе GitLab CI. Взлом будет проходить в соответствии с инструкцией репозиторияPentest-In-Docker, который мы подготовили специально для Archdays. Есть также версия на русском языке, попробовать получить root на linux-хосте можно уже сейчас.
Эксплуатация уязвимости состоит из следующих этапов:
  • Получение доступа в shell контейнера под пользователем www-data, используя RCE - CVE-2014-6271 (Shellshock);
  • Повышение привилегий до root через FakePip exploit;
  • Подключение к docker.sock и развертывание нового контейнера ubuntu с сервисом SSH для дальнейшего подключения (с маунтом /:/host и максимальными привилегиями);
  • Создание пользователя hidle на хосте;
  • Подключение к хосту с новым пользователем;
  • Разворачивание Weave Scope.
Это один из сценариев того, как может действовать злоумышленник, которому удалось обнаружить RCE внутри приложения вместе с подключенным docker.sock. Другой сценарий выхода за пределы контейнера в случае, если docker.sock отсутствует, - воспользоваться уязвимостью на уровне ядра, например, CVE-2016-5195 или CVE-2020-14386. И наконец, самый простой способ, воспользоваться публично доступным незащищенным Docker API. Здесь защищенность инфраструктуры будет зависеть от настроенной аутентификации и авторизации, версии Docker и наличии тех 0-day уязвимостей, про которых вы еще не знаете. Кстати, развертывание Weave Scope здесь не случайно. Именно так поступала группировка TeamTNT для получения контроля над инфраструктурой. Образ также может быть использован для пилотирования коммерческих и open-source решений по Container Security, чтобы посмотреть, как они обнаруживают вредоносные действия.Во второй части мы продемонстрируем создание пайплайна с проверками безопасности образа на примере GitLab CI. В этот пайплайн входят проверки утилитами Hadolint, Dockle и Trivy, которые помогают предотвратить выкладывание небезопасных образов в производственную среду. Это, в свою очередь, уменьшает шансы на успешную компрометацию инфраструктуры по примеру, который мы показали в первой части. Инструкции по встраиванию и пайплайн можно найти на другом нашем репо.Ссылка на программу: https://archdays.ru/speakers/#track-bezopasnost-v-raspredelennyh-sistemahЕсли вы вдруг хотите прийти на конференцию, но по каким-то причинам еще не купили билет, то вот вам промокод на скидку 50%: SwordfishSecurityArchdays20Полезные материалыA Methodology for Penetration Testing Docker Systems - хорошая методичка по тестированию приложений в DockerAwesome DevSecOps на русском - большая подборка материалов по DevSecOps на русском языкеAwesome Docker Security - подборка по безопасности Docker Cloud Security Tools - подборка инструментов по Cloud SecurityCloudSecDocs - Wiki по Kubernetes, Docker и Cloud Security, в том числе по подходам при тестировании на проникновение
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_devops, #_mikroservisy (Микросервисы), #_docker, #_devsecops, #_pentest, #_exploit, #_gitlab, #_blog_kompanii_swordfish_security (
Блог компании Swordfish Security
)
, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_devops, #_mikroservisy (
Микросервисы
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 19:11
Часовой пояс: UTC + 5