اخبار

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

اگر تست های نفوذ به درستی انجام شوند، روش های خوبی را برای بهبود کیفیت امنیت نرم افزار به ما نشان می دهند. تست کوبرنتیز به خوبی و دقیق طراحی شده بود. این تست به یافته های متعددی دست یافت که از جمله آن ها می توان به شناسایی چند آسیب پذیری جدید و توصیه هایی برای بهبود امنیت اشاره کرد. پروژه کوبرنتیز برای بررسی پیشرفت 37 مشکل یافت شده، #81146 را به عنوان یک ترکر ساده باز کرد.

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

CNCF (بنیاد محاسبات کلود نیتیو) سال گذشته دست به یک تست نفوذ زد تا آسیب پذیری های امنیتی ناشناخته و نقاط ضعف طراحی کوبرنتیز (Kubernetes) را شناسایی کند. گزارش نهایی در منبع کارگروه منتشر شد که از این لینک قابل دسترس است.

اگر تست های نفوذ به درستی انجام شوند، روش های خوبی را برای بهبود کیفیت امنیت نرم افزار به ما نشان می دهند. تست کوبرنتیز به خوبی و دقیق طراحی شده بود. این تست به یافته های متعددی دست یافت که از جمله آن ها می توان به شناسایی چند آسیب پذیری جدید و توصیه هایی برای بهبود امنیت اشاره کرد. پروژه کوبرنتیز برای بررسی پیشرفت 37 مشکل یافت شده، #81146 را به عنوان یک ترکر ساده باز کرد.

ما سؤالات متعددی از مشتریان خود دریافت کردیم که در مورد این گزارش بودند. در ادامه به پرتکرارترین سؤالات پاسخ خواهیم داد. با دریافت اطلاعات بیشتر این پست را بروزرسانی خواهیم کرد.

  1. چرا گزارش قبل از بررسی تمام مشکلات منتشر شد؟

افشای یافته های گزارش قبل از انتشار علناً اعلام نشده بود. اگرچه جامعه از تست نفوذ آگاهی داشت اما افشای نتایج از جمله آسیب پذیری های رفع نشده بدون اطلاع قبلی بود. آریل زلیوانسکی (Ariel Zelivansky) که رهبری تیم تحقیقاتی ما را به عهده داشت برای بهبود امنیت افراد، #3982 را باز کرد تا در مورد توسعه فرایندهای هماهنگ تر برای افشا و رفع مشکل پویا صبحت کند. یافته های آینده در مورد آسیب پذیری ها، میان نگهدارنده ها و عرضه کنندگان هماهنگ خواهند شد تا هنگام افشای آسیب پذیری ها، راه حل رفع آن ها هم وجود داشته باشد.

  1. آیا تاکنون توئیست لاک (Twistlock) این آسیب پذیری های جدید را شناسایی کرده است؟

بخش استریم هوش (Intelligence Stream) ما، داده های آسیب پذیر ده ها عرضه کننده و ارائه دهنده رده بالا را به کار می گیرد تا مجموعه داده های مورد نیاز برای شناسایی آسیب پذیری های محیط هر یک از مشتریان را فراهم کند. چون انتشار این گزارش غیرمنتظره بود، به بسیاری از این آسیب پذیری ها هنوز هیچ CVE تخصیص داده نشده است و در نتیجه بسیاری از عرضه کنندگان هنوز نتوانسته اند آسیب پذیر بودن یا نبودن توزیع های خود را مورد ارزیابی قرار دهند. با انجام این ارزیابی ها توسط عرضه کنندگان و انتشار نتایج خود، بخش Intelligence Stream به صورت خودکار این آسیب پذیری ها را دریافت می کند و به توئیست لاک کمک می کند آن ها را شناسایی کند. آنالیز آسیب پذیری های اخیراً افشا شده توسط عرضه کنندگان معمولاً سریع و در عرض چند ساعت پس از افشای آن انجام می شود. اما در این صورت ممکن است ارزیابی برخی از یافته های با اولویت کمتر، کمی بیشتر طول بکشد. علاوه بر این به دلیل حجم زیاد یافته ها ممکن است انتشار داده های CVE نیز کمی بیشتر زمان ببرد.

نیازی نیست مشتریان اقدام خاصی انجام دهند. به محض این که عرضه کنندگان داده های آسیب پذیری را منتشر کنند به صورت خودکار توسط Intelligence Stream دریافت شده و برای شناسایی آسیب پذیری های محیط شما مورد استفاده قرار می گیرد.

  1. توئیست لاک چگونه از من در برابر این آسیب پذیری ها محافظت می کند؟

توئیست لاک کنترل های مختلفی در خود دارد که می توانند تأثیر یافته های گزارش را کاهش دهند. از میان 37 یافته، تنها پنج مورد در رده پرتأثیر قرار دارند. از این میان این پنج مورد هم یک مورد به جای نام «آسیب پذیری»، بهینه سازی پیشنهادی نام گرفت. ما در ادامه به بررسی این پنج مورد خواهیم پرداخت.

  1. توئیست لاک چگونه می تواند عمل محافظت در برابر این مشکلات را انجام دهد؟

hostPath PersistentVolumes به PodSecurityPolicy امکان بایپس می دهد

توئیست لاک دو اقدام برای رفع تهدید انجام می دهد: اقدام اول هشدارهای مانیتورینگ کوبرنتیز در مورد پادهایی (pod) است که با مجوزهای اضافی ایجاد شده اند (دسترسی به مانت های هاست «host mounts»). اقدام دوم قاعده پیروی است که در صورت ایجاد پادهایی با مانت های هاست هشدار می دهد یا مسدود می کند (این مورد همان تست مطلوبیت (کمپلاینس چک) #55 در توئیست لاک است).

کوبرنتیز باطل کردن گواهینامه را ساده نمی کند

این کار یک بهینه سازی امنیتی پیشنهادی است. تغییر کلید تعداد زیادی گواهینامه کاری بسیار سنگین و دشوار است. یافته ها نشان می دهد که بهتر است آن را ساده کنید. اگرچه ما هم معتقدیم که این یک بهینه سازی امنیتی بسیار مفید است اما در دسته آسیب پذیری ها قرار نمی گیرد و هیچ ریسکی را به کاربران امروزی تحمیل نمی کند. به دلیل این که یک بهینه سازی پیشنهادی برای پلتفرم محسوب می شود، به عنوان یک محصول امنیتی خارج از بحث ماست.

Kubernetes

اتصالات HTTPS تأیید نشده اند

ریسک اصلی در این مورد، دسترسی تصادفی به etcd است. پادها معمولاً به شکل مستقیم به etcd دسترسی ندارند و مانند فایروال شبکه Cloud Native ما به صورت خودکار الگوهای ترافیک عادی را یاد می گیرد. ما این اتصال غیرعادی را مسدود می کنیم. علاوه بر این حمله نیازمند ایجاد یک کوبلت (kubelet) مخرب است که ما به مشتریان کمک می کنیم با استفاده از قابلیت Trusted Images (ایمیج های مورد اعتماد) جلوی آن ها را بگیرند. این قابلیت به نرم افزار اجازه می دهد فقط از رجیستری ها و منابع تأیید شده اجرا شود.

آسیب پذیری TOCTOU (زمان بررسی تا زمان استفاده) هنگام انتقال PID به cgroup مدیر از طریق کوبلت

در این آسیب پذیری فرایند درون یک کانتینر (container) توانایی نوشتن بر روی دیوایس های روی هاست را دارد. امکانات دفاعی ران تایم ما به صورت خودکار این نوع حملات را شناسایی می کنند و مانع آن ها می شوند. توئیست لاک به صورت خودکار یاد می گیرد که این رفتار برای دسترسی به سیستم فایل عادی نیست و مانع آن می شود.

پچ شدن صحیح حمله پیمایش دایرکتوری (directory traversal) در kubectl cp

نام این حمله CVE-2019-1002101 است که اوایل امسال آریل (Ariel) موفق شد آن را پیدا کند. برای اطلاعات بیشتر در مورد آن می توانید به این لینک مراجعه کنید. CVE دارای یک ایمیج مخرب است (که با قابلیت Trusted Images می توان جلوی آن را گرفت) و با فقط-خواندنی کردن rootfs می توان جلوی آن را گرفت و ما نیز برای آن تست مطلوبیت (کمپلاینس چک) انجام می دهیم.

شاید این مطالب نیز برای شما جالب باشد

پیشتازی Fortinet در بازار با نوآوری‌های Secure SD-WAN

پیشتازی Fortinet در بازار با نوآوری‌های Secure SD-WAN

معاون اجرایی محصولات و مدیر ارشد بازاریابی، Fortinet درباره پیشتازی fortinet در بازار با نوآوری های Secure SD-WAN اینگونه بیان میدارد : «SD-WAN فقط برای...

ذخیره سازهای DELL EMC Unity XT

ذخیره سازهای DELL EMC Unity XT

با استفاده از DELL EMC Unity XT که دارای 2 برابر IOPS بیشتر و memory‌ بیشتر است و نسبت به مدل‌های قبلی DELL EMC Unity تا 50% افزایش درایو داشته است، ‌مسیر خود...

سرویس‌های امنیتی FortiGuard

سرویس‌های امنیتی FortiGuard

سرویس‌های امنیتی FortiGuard FortiGuard Labs سازمان تحقیقاتی و هوش تهدید شرکت Fortinet است که به توسعه، ابداع و نگهداری از یکی از شناخته شده ترین و مجرب...

همکاری Fortinet با ارائه دهندگان خدمات شبکه

همکاری Fortinet با ارائه دهندگان خدمات شبکه

همکاری Fortinet با شرکت‌های ارائه دهنده خدمات شبکه در سطح جهانی برای ارائه سرویس‌های SD-WAN امن و قابل شخصی سازی رویکرد امنیتی Fortinet در تنظیم...

معرفی F5 Advanced WAF

معرفی F5 Advanced WAF

F5 Advanced WAF همواره حجم عظیمی ترافیک به برنامه های کاربردی شما منتهی میشود و این برنامه های کاربردی وظیفه ارائه سرویس به کلیه ترافیک ورودی...

پیشتازی Fortinet در بازار با نوآوری‌های Secure SD-WAN

پیشتازی Fortinet در بازار با نوآوری‌های Secure SD-WAN

معاون اجرایی محصولات و مدیر ارشد بازاریابی، Fortinet درباره پیشتازی fortinet در بازار با نوآوری های Secure SD-WAN اینگونه بیان میدارد : «SD-WAN فقط برای...

ذخیره سازهای DELL EMC Unity XT

ذخیره سازهای DELL EMC Unity XT

با استفاده از DELL EMC Unity XT که دارای 2 برابر IOPS بیشتر و memory‌ بیشتر است و نسبت به مدل‌های قبلی DELL EMC Unity تا 50% افزایش درایو داشته است، ‌مسیر خود...

سرویس‌های امنیتی FortiGuard

سرویس‌های امنیتی FortiGuard

سرویس‌های امنیتی FortiGuard FortiGuard Labs سازمان تحقیقاتی و هوش تهدید شرکت Fortinet است که به توسعه، ابداع و نگهداری از یکی از شناخته شده ترین و مجرب...

همکاری Fortinet با ارائه دهندگان خدمات شبکه

همکاری Fortinet با ارائه دهندگان خدمات شبکه

همکاری Fortinet با شرکت‌های ارائه دهنده خدمات شبکه در سطح جهانی برای ارائه سرویس‌های SD-WAN امن و قابل شخصی سازی رویکرد امنیتی Fortinet در تنظیم...

معرفی F5 Advanced WAF

معرفی F5 Advanced WAF

F5 Advanced WAF همواره حجم عظیمی ترافیک به برنامه های کاربردی شما منتهی میشود و این برنامه های کاربردی وظیفه ارائه سرویس به کلیه ترافیک ورودی...

امنیت اندپوینت پیشرفته‌ی Fortinet موفق به مسدودکردن 100% بدافزارها در تست حفاظت عملی AV-Comparatives شد

امنیت اندپوینت پیشرفته‌ی Fortinet موفق به مسدودکردن 100% بدافزارها در تست حفاظت عملی AV-Comparatives شد

تست‌های حفاظت کسب‌وکار در مقابل بدافزار و حفاظت عملی AV-Comparative، پیشتازی Fortinet را در زمینه‌ی حفاظت بلادرنگ اندپوینت در مقابل تهدیدات...

اصالت کالا
پشتیبانی
گارانتی تعویض
پست پیشتاز
Call Now Button