MemOps 😃

Один Docker-контейнер чуть не обрушил всю экосистему Python

17 минут решили судьбу миллионов разработчиков.

Исследователи обнаружили утечку токена с административными правами доступа к репозиториям GitHub Python, PyPI и Python Software Foundation. Токен был найден в публичном Docker-контейнере на платформе Docker Hub.

Выявленный токен предоставлял административный доступ ко всей инфраструктуре Python, включая репозитории Python Software Foundation, PyPI и CPython. Если бы злоумышленники получили доступ к этим ресурсам, они могли бы провести крупномасштабную атаку на цепочку поставок, например, внедрить вредоносный код в CPython, что могло бы привести к распространению вредоносного ПО на десятки миллионов машин по всему миру.

Токен был найден внутри Docker-контейнера в скомпилированном Python-файле (pycache/build.cpython-311.pyc). Автор кода временно добавил токен авторизации в исходный код, после чего скомпилировал код, но не удалил токен из скомпилированного файла. Затем разработчик поместил в Docker-образ как исходный код, так и скомпилированный pyc-файл вместе с токеном. В результате токен оказался в Docker-образе, несмотря на отсутствие его в исходном коде.

Исследователи оперативно сообщили об утечке токена службе безопасности PyPI, и всего через 17 минут доступ был отозван. Благодаря быстрому реагированию, удалось предотвратить потенциальную катастрофу.

📌 Подробнее: https://jfrog.com/blog/leaked-pypi-secret-token-revealed-in-binary-preventing-suppy-chain-attack/

MemOps 🤨

Наконец-то нормальная работа

MemOps 😃

Апокалипсис. День 1

Безумное событие для мировой инфраструктуры: Crowdstrike BSOD 👨‍🦳 Упали системы десятков тысяч компаний по всему миру, включая финансовый сектор, рынок авиаперевозок и тд.

Проблема не будет решена быстро. Затронутые компьютеры находятся в состоянии, когда они не подключены к сети, поэтому Crowdstrike не может просто выпустить обновление, чтобы все исправить.

Нельзя пренебрегать главным правилом - пятницы только для чтения!

Временное решение:
1. Boot Windows into Safe Mode or the Windows Recovery Environment
2. Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
3. Locate the file matching “C-00000291*.sys”, and delete it.
4. Boot the host normally.

Еще одно временное решение для csagent.sys:
Загрузитесь в безопасном режиме, зайдите в реестр и отредактируйте следующий ключ:

HKLM:\SYSTEM\CurrentControlSet\Services\CSAgent\Start from a 1 to a 4

Это отключает загрузку csagent.sys загрузку.

_________________
Ну и комментарии некоторых админов по произошедшему:

Yes, just had 160 servers all BSOD. This is NOT going to be a fun evening.

I was woken up and had to drive into work for this mess! 16K windows and over 2k servers. Thanks a lot CrowdStrike.

We lost over 960 instances in the datacenter. Workstations across the globe lost. The recovery for staff workstations is going to be insane.

I love being woken up for this bullshit in the middle of the night!

This shit fucked my whole company end users and servers

We have 1000+ employees and 6 help desk guys. Even if it only takes them 5 minutes for each person(lmao) that's 1000 x 5 / 60 / 6 = 14 straight hours of work from each of them. That's not a feasible solution. I literally don't know what we're gonna do lol.

Только что получил звонок, что это происходит в больнице, в которой я работаю. все 4000 клиентов переходят в режим восстановления

У меня 4000 офисных ПК. 1000 производственных ПК. И около 3000 магазинов, в которых есть как минимум 2-3 POS
Боже, помоги мне и нашей команде

Идеальное время для моего отпуска. Наблюдаю, как мир ИТ приходит в замешательство, и я могу просто наблюдать со стороны. Зная, что моя организация не использует CrowdStrike

Типичный 🥸 Сисадмин

Проект RAD Security – Cloud native workload fingerprints.

По сути это сборник моделей поведения для публичных образов. Сама модель поведения представляет из себя дерево процессов с их взаимоотношением с файловой и сетевой подсистемой. Задумка такова, что это будто эталон и вы наблюдая у себя за поведением, сравниваете его с эталоном. Как результат, можете поймать как 1day и 0day атаки, так и проблемы с Software Supply Chain Security.

📌 Подробнее: https://rad.security/rad-security

MemOps 🤨

Джун из CrowdStrike после деплоя в продакшен сегодня

MemOps 😃

CIS Benchmarks Updated — CIS обновили бенчмарки для Kubernetes, NGINX, OpenShift и многих других.

📌 Подробнее: https://www.cisecurity.org/insights/blog/cis-benchmarks-july-2024-update

MemOps 🤨

MemOps 😃

Kubernetes EOL: понимание цикла выпуска K8s и как подготовиться к EOL

Завершение срока службы Kubernetes (EOL) — это стадия, когда определенная версия Kubernetes больше не получает обновлений, включая исправления безопасности, исправления ошибок или улучшения. Каждая версия Kubernetes работает по заранее установленному графику: начиная с выпуска, затем следует окончание активной поддержки и заканчивая завершением технического обслуживания, которое также известно как EOL.

Организациям, использующим Kubernetes, важно понимать, как работают версии Kubernetes, и быть в курсе сроков EOL. Команды должны осознавать необходимость перехода на поддерживаемые версии для поддержания операционной эффективности, безопасности и доступа к новейшим функциям.

📌 Подробнее: https://komodor.com/learn/kubernetes-eol-understanding-the-k8s-release-cycle-and-how-to-prepare-for-eol/

MemOps 🤨

MemOps 😃

Zero to Hero: Loki

Если вы ищете простую систему логирования — почему бы не обратить внимание на Loki? В этой серии видео команда Grafana рассказывает начиная с самых азов.

📌 Подробнее: https://www.youtube.com/watch?v=TLnH7efQNd0

MemOps 🤨

MemOps 😃

Как переиграть эйчара

MemOps 😃

LXC vs. Docker: что использовать?

В современных условиях разработки программного обеспечения технология контейнеризации стала ключевым инструментом для разработчиков, стремящихся повысить эффективность и обеспечить согласованность в различных средах. Среди различных контейнерных технологий, доступных сегодня, контейнеры Linux (LXC) и Docker являются двумя наиболее популярными вариантами.
В статье рассматриваются виртуальные среды LXC и Docker и их функциональные возможности.

📌 Подробнее: https://www.docker.com/blog/lxc-vs-docker/

MemOps 🤨

MemOps 😃

Долгожданный праздник! 🛏
В последнюю пятницу июля по всей сети вновь оживает дух Сисадмина.

Радостные, но редкие пинги искрятся между провайдерами, как фейерверки в ночном небе. Отправленные пакеты, стремясь сохранить атмосферу загадки, пропадают в недрах интернета. Боевой сервер терпит падение, а принтеры, заботясь о расходах на тонер, вдруг решают взять выходной. Звуки телефонных звонков замирают, словно отдавая дань уважения повелителю этого праздника. Пользователи, как истинные почетатели их ИТ-творца, приносят свои скромные дары к виртуальным дверям серверной.

И вот он, Сисадмин, появляется в офисе. С ловкостью поднимает сервер, пинает провайдеров и интернеты снова оживают, а пользователи, спохватившись, прячут свои кривые руки в карманы и стремительно разбегаются по кабинетам. До конца рабочего дня остаётся всего восемь часов и мир технологий снова обретает гармонию.

ОДМИНЬ!!! С праздником! Первый тост за localhost!

Типичный 🥸 Сисадмин

Как построить эффективную стратегию мониторинга с высокой наблюдаемостью — если ваш проект лагает или работает через раз, вас не спасут никакие фичи.

📌 Подробнее: https://habr.com/ru/companies/itsumma/articles/814195/

MemOps 🤨

MemOps 😃

Инженер придумал, как спастись от «синего экрана смерти» с помощью сканера штрих-кодов

Последствия массового сбоя Windows всё ещё необходимо разгребать. Например, в Grant Thornton из строя вышли сотни компьютеров и более ста серверов. На всех ПК стоял BitLocker, значит для восстановления надо было ещё и вводить 48-символьный ключ. Вручную на это ушла бы куча времени.

Системный инженер Роб Вольц придумал лайфхак, чтобы всё это автоматизировать. Компьютеры воспринимают сканеры штрих-кодов как физические клавиатуры. Вольц с коллегами написали скрипт, который преобразует ключи BitLocker в штрих-коды, отображавшиеся на рабочем столе заблокированного сервера. Когда компы запрашивали ключ, сканер считывал штрих-код на экране сервера и вводил в нужное поле. 

🥸 godnoTECH - Новости IT

Docker патчит критическую уязвимость пятилетней давности

Разработчики выпустили обновление для устранения критической уязвимости в некоторых версиях Docker Engine. Уязвимость позволяет злоумышленникам обойти плагины авторизации (AuthZ) при соблюдении ряда условий.

Изначально проблема была обнаружена и исправлена в Docker Engine 18.09.1, выпущенном еще в январе 2019 года. Однако по неизвестной причине это исправление не было перенесено в более поздние версии, в результате чего уязвимость проявилась вновь.

Снова эту проблему заметили лишь в апреле 2024 года. В результате на этой неделе были опять выпущены патчи для всех поддерживаемых версий Docker Engine.

То есть у злоумышленников было пять лет для эксплуатации этого бага, хотя доподлинно неизвестно, применялась ли уязвимость для фактических атак и получения несанкционированного доступа к инстансам Docker.

Теперь уязвимость отслеживается под идентификатором CVE-2024-41110 и оценивается в максимальные 10 баллов по шкале CVSS.

📌 Подробнее: https://www.docker.com/blog/docker-security-advisory-docker-engine-authz-plugin/

MemOps 🤨