У Kubernetes появилась собственная программа bug bounty
Программа распространяется на основной код Kubernetes, хранящийся на GitHub, а также на проблемы связанные с непрерывной интеграцией, релизами и артефактами в документации. В частности, разработчиков интересуют дыры в безопасности, которые могут привести к кластерным атакам (включая эскалацию привилегий, баги аутентификации и удаленное выполнение кода в kubelet’ах или API сервере).
Программа разместилась на платформе HackerOne.
https://xakep.ru/2020/01/16/kubernetes-bug-bounty/
#k8s #news #ops
Программа распространяется на основной код Kubernetes, хранящийся на GitHub, а также на проблемы связанные с непрерывной интеграцией, релизами и артефактами в документации. В частности, разработчиков интересуют дыры в безопасности, которые могут привести к кластерным атакам (включая эскалацию привилегий, баги аутентификации и удаленное выполнение кода в kubelet’ах или API сервере).
Программа разместилась на платформе HackerOne.
https://xakep.ru/2020/01/16/kubernetes-bug-bounty/
#k8s #news #ops
XAKEP
У Kubernetes появилась собственная программа bug bounty
Популярнейший оркестратор Kubernetes обзавелся собственной программой вознаграждения за уязвимости. За баги исследователям заплатят до 10 000 долларов США.
Сканеры Kubernetes (free)
Несколько дней назад стартап Octarine выпустила open source решение kube-scan - инструмент для оценки рабочей нагрузки, который основан на KCCSS и сканирует конфигурации и настройки Kubernetes для выявления и ранжирования потенциальных уязвимостей в приложениях. KCCSS - это структура для оценки рисков безопасности, связанных с неправильной конфигурацией. KCCSS аналогична Common Vulnerability Scoring System (CVSS), отраслевому стандарту для оценки уязвимостей, но вместо этого фокусируется на самих конфигурациях и настройках безопасности.
Kube-scan от Octarine - не единственный open source сканер k8s.
KubiScan от CyberARK. KubiScan помогает администраторам кластера определять разрешения, которые злоумышленники могут использовать для взлома кластеров. Это может быть особенно полезно в больших средах, где есть много разрешений, которые сложно отследить.
Kube-hunter от Aqua Security. Сканер уязвимостей k8s. Базу данных уязвимсотей можно увидеть здесь.
Kube-bench от Aqua Security. Сканер проверяет, безопасно ли развернут k8s.
#k8s #news #tools #ops
Несколько дней назад стартап Octarine выпустила open source решение kube-scan - инструмент для оценки рабочей нагрузки, который основан на KCCSS и сканирует конфигурации и настройки Kubernetes для выявления и ранжирования потенциальных уязвимостей в приложениях. KCCSS - это структура для оценки рисков безопасности, связанных с неправильной конфигурацией. KCCSS аналогична Common Vulnerability Scoring System (CVSS), отраслевому стандарту для оценки уязвимостей, но вместо этого фокусируется на самих конфигурациях и настройках безопасности.
Kube-scan от Octarine - не единственный open source сканер k8s.
KubiScan от CyberARK. KubiScan помогает администраторам кластера определять разрешения, которые злоумышленники могут использовать для взлома кластеров. Это может быть особенно полезно в больших средах, где есть много разрешений, которые сложно отследить.
Kube-hunter от Aqua Security. Сканер уязвимостей k8s. Базу данных уязвимсотей можно увидеть здесь.
Kube-bench от Aqua Security. Сканер проверяет, безопасно ли развернут k8s.
#k8s #news #tools #ops
VMware
VMware Security Solutions
Deliver security that’s built-in & distributed with your control points of users, devices, workloads & network, with fewer tools & silos, & better context.
RubyGems содержит вредоносные пакеты, подвергающие опасности разработчиков на Windows
Более 700 вредоносных пакетов с похожими именами были загружены в RubyGems, популярный репозиторий сторонних компонентов для языка программирования Ruby. По словам исследователей, загрузка вредоносных пакетов разработчиками происходила в течение недели в феврале. Мошеннические пакеты содержали вредоносный скрипт, который при исполнении на ОС Windows захватывал криптовалютные транзакции, заменяя адрес кошелька получателя на адрес, контролируемый злоумышленником. Используемый сценарий перехвата буфера обмена мог быть легко используемым также для кражи любых учетных данных.
#news #dev
Более 700 вредоносных пакетов с похожими именами были загружены в RubyGems, популярный репозиторий сторонних компонентов для языка программирования Ruby. По словам исследователей, загрузка вредоносных пакетов разработчиками происходила в течение недели в феврале. Мошеннические пакеты содержали вредоносный скрипт, который при исполнении на ОС Windows захватывал криптовалютные транзакции, заменяя адрес кошелька получателя на адрес, контролируемый злоумышленником. Используемый сценарий перехвата буфера обмена мог быть легко используемым также для кражи любых учетных данных.
#news #dev
CSO Online
RubyGems typosquatting attack hits Ruby developers with trojanized packages
Attacker targeted Windows systems to hijack cryptocurrency transactions, and was able to evade anti-typosquatting measures.
ScoutSuite 5.8.0
Scout Suite - это инструмент аудита безопасности с открытым исходным кодом, который позволяет оценить состояние безопасности облачных сред (AWS, Azure, GCP, OCI). Используя API, предоставляемые облачными провайдерами, Scout Suite собирает данные о конфигурации и выделяет риски безопасности.
Cloud Security Suite - Installation and initiation of an AWS audit
Cloud Security - Implementing NCC ScoutSuite on my Azure Account
Относительно недавно вышла новая версия 5.8.0, поддерживающая KMS, Secrets Manager в AWS, App Service Web Apps, Security Center Compliance Results в Azure. Обещают, что сканирование в GCP должно выполняться быстрее.
#news #aws #azure #tools #gcp #ops
Scout Suite - это инструмент аудита безопасности с открытым исходным кодом, который позволяет оценить состояние безопасности облачных сред (AWS, Azure, GCP, OCI). Используя API, предоставляемые облачными провайдерами, Scout Suite собирает данные о конфигурации и выделяет риски безопасности.
Cloud Security Suite - Installation and initiation of an AWS audit
Cloud Security - Implementing NCC ScoutSuite on my Azure Account
Относительно недавно вышла новая версия 5.8.0, поддерживающая KMS, Secrets Manager в AWS, App Service Web Apps, Security Center Compliance Results в Azure. Обещают, что сканирование в GCP должно выполняться быстрее.
#news #aws #azure #tools #gcp #ops
GitLab Acquires Peach Tech and Fuzzit to Expand its DevSecOps Offering
Новости уже неделя, но лучше поздно, чем никогда. GitLab заявила о покупке Peach Tech и Fuzzit. Это означает, что в недалеком будущем в GitLab Secure появится возможность осуществления фаззинга и поведенческого тестирования API в CI/CD-конвейере. Кроме того, интеграция новых решений позволит GitLab ускорить разработку своей дорожной карты для интерактивного тестирования безопасности приложений (IAST).
На текущий момент GitLab позиционируется как нишевой игрок в отчете Gartner Magic Quadrant 2020 года по тестированию безопасности приложений (AST).
О других инструментах, входящих в Gitlab Secure.
#news #fuzzing #dast #dev
Новости уже неделя, но лучше поздно, чем никогда. GitLab заявила о покупке Peach Tech и Fuzzit. Это означает, что в недалеком будущем в GitLab Secure появится возможность осуществления фаззинга и поведенческого тестирования API в CI/CD-конвейере. Кроме того, интеграция новых решений позволит GitLab ускорить разработку своей дорожной карты для интерактивного тестирования безопасности приложений (IAST).
На текущий момент GitLab позиционируется как нишевой игрок в отчете Gartner Magic Quadrant 2020 года по тестированию безопасности приложений (AST).
О других инструментах, входящих в Gitlab Secure.
#news #fuzzing #dast #dev
Gitlab
GitLab Acquires Peach Tech and Fuzzit to Expand its DevSecOps Offering
Acquisitions will make GitLab the first security solution to offer both coverage-guided and behavioral fuzz testing
GitHub Public Roadmap
Кстати, еще немного про GitHub. Недавно они опубликовали свой Roadmap в открытый доступ, с которым вы уже можете ознакомиться. По ссылке можно увидеть то, что относится к security.
https://github.com/github/roadmap/projects/1?card_filter_query=label%3A%22security+%26+compliance%22
#news #dev
Кстати, еще немного про GitHub. Недавно они опубликовали свой Roadmap в открытый доступ, с которым вы уже можете ознакомиться. По ссылке можно увидеть то, что относится к security.
https://github.com/github/roadmap/projects/1?card_filter_query=label%3A%22security+%26+compliance%22
#news #dev
Cloud Security Channel - @cloud_sec
В силу того, что я встречаю большое количество интересного материала про Public Cloud Security (AWS, Azure, GCP security), а времени делать ревью к каждой статье не хватает, я решил вынести этот материал в отдельный канал - CloudSec Wine. Здесь будут публиковаться инструменты, новости и конференции в разрезе security в мире облачных провайдеров на английском языке.
В DevSecOps Wine будут также время от времени публиковаться выборочно самые сливки по Cloud Security на русском языке.
Отдельное спасибо @ttffdd за то, что согласился продолжить вести его канал cloudsec.
#news #talks #ops
В силу того, что я встречаю большое количество интересного материала про Public Cloud Security (AWS, Azure, GCP security), а времени делать ревью к каждой статье не хватает, я решил вынести этот материал в отдельный канал - CloudSec Wine. Здесь будут публиковаться инструменты, новости и конференции в разрезе security в мире облачных провайдеров на английском языке.
В DevSecOps Wine будут также время от времени публиковаться выборочно самые сливки по Cloud Security на русском языке.
Отдельное спасибо @ttffdd за то, что согласился продолжить вести его канал cloudsec.
#news #talks #ops
Red Hat to Acquire Kubernetes-Native Security Leader StackRox
Интересная новость, которая как-то прошла мимо. На той неделе Red Hat объявили о намерении покупки компании StackRox, которая специализируется на разработке средств защиты для контейнерной среды. Закрытие сделки ожидается на первый квартал 2021 года.
https://www.redhat.com/en/about/press-releases/red-hat-acquire-kubernetes-native-security-leader-stackrox?sc_cid=701f2000000tyBtAAI
#news #ops #k8s
Интересная новость, которая как-то прошла мимо. На той неделе Red Hat объявили о намерении покупки компании StackRox, которая специализируется на разработке средств защиты для контейнерной среды. Закрытие сделки ожидается на первый квартал 2021 года.
https://www.redhat.com/en/about/press-releases/red-hat-acquire-kubernetes-native-security-leader-stackrox?sc_cid=701f2000000tyBtAAI
#news #ops #k8s
Redhat
Red Hat to Acquire Kubernetes-Native Security Leader StackRox
Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies
Недавно вышла интересная статья про то, как исследователь получил возможность исполнять код на серверах компаний и внедрять бэкдоры в их приложения. Уязвимыми оказались такие гиганты, как Microsoft, Apple, PayPal и Tesla. Атака стала возможной благодаря особенности пакетных менеджеров, которые пытаются загрузить внутренние зависимости компаний, в том числе и из публичных репозиториев. Это касается и хранилищ артефактов, если в одном виртуальном репозитории смешаны внутренние и внешние пакеты.
Реализовать атаку довольно просто: находим имена приватных пакетов, создаем собственные версии с аналогичным названием, выкладываем в публичный репозиторий. Далее ждем, когда кто-то установит наш пакет вместо приватного пакета компании. На HackerOne есть репорт, который раскрывает всю подноготную атаки, включая "вредоносный" пакет для тестирования.
Защита от подобного рода атак описывается в новеньком документе Microsoft. Для Nexus и JFrog выпущены соответствующие рекомендации. Но какой-то серебряной пули, которая поможет здесь и сейчас, нет. Особенно в случае с npm, когда ваши разработчики не используют scope.
Кстати, ситуация с Dependency Confusion еще один звоночек в пользу создания своей баг-баунти программы. Ведь владельцы оных были уведомлены об уязвимости аж 7 месяцев назад.
Новость и разбор от @Khorcus
#dev #sca #attack #news
Недавно вышла интересная статья про то, как исследователь получил возможность исполнять код на серверах компаний и внедрять бэкдоры в их приложения. Уязвимыми оказались такие гиганты, как Microsoft, Apple, PayPal и Tesla. Атака стала возможной благодаря особенности пакетных менеджеров, которые пытаются загрузить внутренние зависимости компаний, в том числе и из публичных репозиториев. Это касается и хранилищ артефактов, если в одном виртуальном репозитории смешаны внутренние и внешние пакеты.
Реализовать атаку довольно просто: находим имена приватных пакетов, создаем собственные версии с аналогичным названием, выкладываем в публичный репозиторий. Далее ждем, когда кто-то установит наш пакет вместо приватного пакета компании. На HackerOne есть репорт, который раскрывает всю подноготную атаки, включая "вредоносный" пакет для тестирования.
Защита от подобного рода атак описывается в новеньком документе Microsoft. Для Nexus и JFrog выпущены соответствующие рекомендации. Но какой-то серебряной пули, которая поможет здесь и сейчас, нет. Особенно в случае с npm, когда ваши разработчики не используют scope.
Кстати, ситуация с Dependency Confusion еще один звоночек в пользу создания своей баг-баунти программы. Ведь владельцы оных были уведомлены об уязвимости аж 7 месяцев назад.
Новость и разбор от @Khorcus
#dev #sca #attack #news
"If you use Travis CI, your supply chain was compromised."
Тут в твиттере набирает популярность тред, связанный с утечкой секретов из публичных репозиториев, собираемых через Travis CI. Дело в том, что до 10 сентября (когда был внедрен фикс) любой пользователь мог получить доступ к закрытым переменным абсолютно любого публичного репозитория. Для этого достаточно было сделать fork репозтория и вывести переменную через print в процессе сборки. Основная проблема, согласно автору треда, в том, что разработчики Travis CI никак не оповестили своих клиентов, когда получили информацию об этой уязвимости. Очень, кстати, напомнило пост, который я делал про вывод секретов через Jenkins в процессе сборки.
Если вы используете Travis CI для своих публичных репозиториев, рекомендуется сменить секреты.
https://twitter.com/peter_szilagyi/status/1437646118700175360
#ops #attack #news
Тут в твиттере набирает популярность тред, связанный с утечкой секретов из публичных репозиториев, собираемых через Travis CI. Дело в том, что до 10 сентября (когда был внедрен фикс) любой пользователь мог получить доступ к закрытым переменным абсолютно любого публичного репозитория. Для этого достаточно было сделать fork репозтория и вывести переменную через print в процессе сборки. Основная проблема, согласно автору треда, в том, что разработчики Travis CI никак не оповестили своих клиентов, когда получили информацию об этой уязвимости. Очень, кстати, напомнило пост, который я делал про вывод секретов через Jenkins в процессе сборки.
Если вы используете Travis CI для своих публичных репозиториев, рекомендуется сменить секреты.
https://twitter.com/peter_szilagyi/status/1437646118700175360
#ops #attack #news
Twitter
Péter Szilágyi (karalabe.eth)
Between the 3 Sept and 10 Sept, secure env vars of *all* public @travisci repositories were injected into PR builds. Signing keys, access creds, API tokens. Anyone could exfiltrate these and gain lateral movement into 1000s of orgs. #security 1/4 travis-…
Popular NPM package UA-Parser-JS poisoned with cryptomining, password-stealing malware
Несколько дней назад в популярном пакете
Подверженные версии:
Проблема устранена в:
Сейчас уязвимость уже есть во многих AV-движках (в случае если на вашем слейве есть AV) и закрытых базах платных SCA (например, Sonatype под идентификатором sonatype-2021-1529)
P.S. Зависимость может быть транзитивной, поэтому ее можно ожидать в том же пакете
#attack #dev #news
Несколько дней назад в популярном пакете
ua-parser-js был обнаружен криптомайнер и password-stealer. Пакет используется такими компаниями как Google, Amazon, Facebook, IBM и Microsoft. Предполагается, что вредоносное ПО попало в пакет после получения доступа к учетной записи мейнтейнера злоумышленником. Подверженные версии:
0.7.29, 0.8.0, 1.0.0. Проблема устранена в:
0.7.30, 0.8.1, 1.0.1.Сейчас уязвимость уже есть во многих AV-движках (в случае если на вашем слейве есть AV) и закрытых базах платных SCA (например, Sonatype под идентификатором sonatype-2021-1529)
P.S. Зависимость может быть транзитивной, поэтому ее можно ожидать в том же пакете
react.#attack #dev #news
The Daily Swig | Cybersecurity news and views
Popular NPM package UA-Parser-JS poisoned with cryptomining, password-stealing malware
Developer moves quickly to address vulnerabilities after his account was compromised
Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
“В репозитории пакетов NPM выявлена проблема с безопасностью, позволяющая владельцу пакета добавить в число сопровождающих любого пользователя, без получения от этого пользователя согласия и без информирования о совершённом действии. Проблема усугубляется тем, что после добавления стороннего пользователя в число сопровождающих, изначальный автор пакета мог удалить себя из списка сопровождающих и сторонний пользователь оставался единственным лицом, отвечающим за пакет.
Проблемой могли воспользоваться создатели вредоносных пакетов для добавления в число сопровождающих известных разработчиков или крупных компаний с целью повышения доверия пользователей и создания иллюзии, что заслуженные разработчики отвечают за пакет, хотя на деле не имеют к нему никакого отношения и даже не знают о его существовании. Например, атакующий мог разместить вредоносный пакет, сменить сопровождающего и пригласить пользователей протестировать новую разработку крупной компании. Уязвимость также могла применяться для очернения репутации определённых разработчиков, представляя их как инициаторов сомнительных акций и вредоносных действий.”
https://opennet.ru/57108/
#dev #news
“В репозитории пакетов NPM выявлена проблема с безопасностью, позволяющая владельцу пакета добавить в число сопровождающих любого пользователя, без получения от этого пользователя согласия и без информирования о совершённом действии. Проблема усугубляется тем, что после добавления стороннего пользователя в число сопровождающих, изначальный автор пакета мог удалить себя из списка сопровождающих и сторонний пользователь оставался единственным лицом, отвечающим за пакет.
Проблемой могли воспользоваться создатели вредоносных пакетов для добавления в число сопровождающих известных разработчиков или крупных компаний с целью повышения доверия пользователей и создания иллюзии, что заслуженные разработчики отвечают за пакет, хотя на деле не имеют к нему никакого отношения и даже не знают о его существовании. Например, атакующий мог разместить вредоносный пакет, сменить сопровождающего и пригласить пользователей протестировать новую разработку крупной компании. Уязвимость также могла применяться для очернения репутации определённых разработчиков, представляя их как инициаторов сомнительных акций и вредоносных действий.”
https://opennet.ru/57108/
#dev #news
❤1