اخبار

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

اگر تست های نفوذ به درستی انجام شوند، روش های خوبی را برای بهبود کیفیت امنیت نرم افزار به ما نشان می دهند. تست کوبرنتیز به خوبی و دقیق طراحی شده بود. این تست به یافته های متعددی دست یافت که از جمله آن ها می توان به شناسایی چند آسیب پذیری جدید و توصیه هایی برای بهبود امنیت اشاره کرد. پروژه کوبرنتیز برای بررسی پیشرفت 37 مشکل یافت شده، #81146 را به عنوان یک ترکر ساده باز کرد.

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

CNCF (بنیاد محاسبات کلود نیتیو) سال گذشته دست به یک تست نفوذ زد تا آسیب پذیری های امنیتی ناشناخته و نقاط ضعف طراحی کوبرنتیز (Kubernetes) را شناسایی کند. گزارش نهایی در منبع کارگروه منتشر شد که از این لینک قابل دسترس است.

اگر تست های نفوذ به درستی انجام شوند، روش های خوبی را برای بهبود کیفیت امنیت نرم افزار به ما نشان می دهند. تست کوبرنتیز به خوبی و دقیق طراحی شده بود. این تست به یافته های متعددی دست یافت که از جمله آن ها می توان به شناسایی چند آسیب پذیری جدید و توصیه هایی برای بهبود امنیت اشاره کرد. پروژه کوبرنتیز برای بررسی پیشرفت 37 مشکل یافت شده، #81146 را به عنوان یک ترکر ساده باز کرد.

ما سؤالات متعددی از مشتریان خود دریافت کردیم که در مورد این گزارش بودند. در ادامه به پرتکرارترین سؤالات پاسخ خواهیم داد. با دریافت اطلاعات بیشتر این پست را بروزرسانی خواهیم کرد.

  1. چرا گزارش قبل از بررسی تمام مشکلات منتشر شد؟

افشای یافته های گزارش قبل از انتشار علناً اعلام نشده بود. اگرچه جامعه از تست نفوذ آگاهی داشت اما افشای نتایج از جمله آسیب پذیری های رفع نشده بدون اطلاع قبلی بود. آریل زلیوانسکی (Ariel Zelivansky) که رهبری تیم تحقیقاتی ما را به عهده داشت برای بهبود امنیت افراد، #3982 را باز کرد تا در مورد توسعه فرایندهای هماهنگ تر برای افشا و رفع مشکل پویا صبحت کند. یافته های آینده در مورد آسیب پذیری ها، میان نگهدارنده ها و عرضه کنندگان هماهنگ خواهند شد تا هنگام افشای آسیب پذیری ها، راه حل رفع آن ها هم وجود داشته باشد.

  1. آیا تاکنون توئیست لاک (Twistlock) این آسیب پذیری های جدید را شناسایی کرده است؟

بخش استریم هوش (Intelligence Stream) ما، داده های آسیب پذیر ده ها عرضه کننده و ارائه دهنده رده بالا را به کار می گیرد تا مجموعه داده های مورد نیاز برای شناسایی آسیب پذیری های محیط هر یک از مشتریان را فراهم کند. چون انتشار این گزارش غیرمنتظره بود، به بسیاری از این آسیب پذیری ها هنوز هیچ CVE تخصیص داده نشده است و در نتیجه بسیاری از عرضه کنندگان هنوز نتوانسته اند آسیب پذیر بودن یا نبودن توزیع های خود را مورد ارزیابی قرار دهند. با انجام این ارزیابی ها توسط عرضه کنندگان و انتشار نتایج خود، بخش Intelligence Stream به صورت خودکار این آسیب پذیری ها را دریافت می کند و به توئیست لاک کمک می کند آن ها را شناسایی کند. آنالیز آسیب پذیری های اخیراً افشا شده توسط عرضه کنندگان معمولاً سریع و در عرض چند ساعت پس از افشای آن انجام می شود. اما در این صورت ممکن است ارزیابی برخی از یافته های با اولویت کمتر، کمی بیشتر طول بکشد. علاوه بر این به دلیل حجم زیاد یافته ها ممکن است انتشار داده های CVE نیز کمی بیشتر زمان ببرد.

نیازی نیست مشتریان اقدام خاصی انجام دهند. به محض این که عرضه کنندگان داده های آسیب پذیری را منتشر کنند به صورت خودکار توسط Intelligence Stream دریافت شده و برای شناسایی آسیب پذیری های محیط شما مورد استفاده قرار می گیرد.

  1. توئیست لاک چگونه از من در برابر این آسیب پذیری ها محافظت می کند؟

توئیست لاک کنترل های مختلفی در خود دارد که می توانند تأثیر یافته های گزارش را کاهش دهند. از میان 37 یافته، تنها پنج مورد در رده پرتأثیر قرار دارند. از این میان این پنج مورد هم یک مورد به جای نام «آسیب پذیری»، بهینه سازی پیشنهادی نام گرفت. ما در ادامه به بررسی این پنج مورد خواهیم پرداخت.

  1. توئیست لاک چگونه می تواند عمل محافظت در برابر این مشکلات را انجام دهد؟

hostPath PersistentVolumes به PodSecurityPolicy امکان بایپس می دهد

توئیست لاک دو اقدام برای رفع تهدید انجام می دهد: اقدام اول هشدارهای مانیتورینگ کوبرنتیز در مورد پادهایی (pod) است که با مجوزهای اضافی ایجاد شده اند (دسترسی به مانت های هاست «host mounts»). اقدام دوم قاعده پیروی است که در صورت ایجاد پادهایی با مانت های هاست هشدار می دهد یا مسدود می کند (این مورد همان تست مطلوبیت (کمپلاینس چک) #55 در توئیست لاک است).

کوبرنتیز باطل کردن گواهینامه را ساده نمی کند

این کار یک بهینه سازی امنیتی پیشنهادی است. تغییر کلید تعداد زیادی گواهینامه کاری بسیار سنگین و دشوار است. یافته ها نشان می دهد که بهتر است آن را ساده کنید. اگرچه ما هم معتقدیم که این یک بهینه سازی امنیتی بسیار مفید است اما در دسته آسیب پذیری ها قرار نمی گیرد و هیچ ریسکی را به کاربران امروزی تحمیل نمی کند. به دلیل این که یک بهینه سازی پیشنهادی برای پلتفرم محسوب می شود، به عنوان یک محصول امنیتی خارج از بحث ماست.

اتصالات HTTPS تأیید نشده اند

ریسک اصلی در این مورد، دسترسی تصادفی به etcd است. پادها معمولاً به شکل مستقیم به etcd دسترسی ندارند و مانند فایروال شبکه Cloud Native ما به صورت خودکار الگوهای ترافیک عادی را یاد می گیرد. ما این اتصال غیرعادی را مسدود می کنیم. علاوه بر این حمله نیازمند ایجاد یک کوبلت (kubelet) مخرب است که ما به مشتریان کمک می کنیم با استفاده از قابلیت Trusted Images (ایمیج های مورد اعتماد) جلوی آن ها را بگیرند. این قابلیت به نرم افزار اجازه می دهد فقط از رجیستری ها و منابع تأیید شده اجرا شود.

آسیب پذیری TOCTOU (زمان بررسی تا زمان استفاده) هنگام انتقال PID به cgroup مدیر از طریق کوبلت

در این آسیب پذیری فرایند درون یک کانتینر (container) توانایی نوشتن بر روی دیوایس های روی هاست را دارد. امکانات دفاعی ران تایم ما به صورت خودکار این نوع حملات را شناسایی می کنند و مانع آن ها می شوند. توئیست لاک به صورت خودکار یاد می گیرد که این رفتار برای دسترسی به سیستم فایل عادی نیست و مانع آن می شود.

پچ شدن صحیح حمله پیمایش دایرکتوری (directory traversal) در kubectl cp

نام این حمله CVE-2019-1002101 است که اوایل امسال آریل (Ariel) موفق شد آن را پیدا کند. برای اطلاعات بیشتر در مورد آن می توانید به این لینک مراجعه کنید. CVE دارای یک ایمیج مخرب است (که با قابلیت Trusted Images می توان جلوی آن را گرفت) و با فقط-خواندنی کردن rootfs می توان جلوی آن را گرفت و ما نیز برای آن تست مطلوبیت (کمپلاینس چک) انجام می دهیم.

شاید این مطالب نیز برای شما جالب باشد

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون ما در دمیستو (Demisto) برای تهیه گزارش سالانه سوم در مورد وضعیت SOAR (هماهنگی، اتوماسیون و...

تلاش TrickBot برای ورود به شبکه

تلاش TrickBot برای ورود به شبکه

تلاش TrickBot برای ورود به شبکه تیم FortiGuard SE، اواخر ماه آگوست در وب سایت Virus Total موفق به کشف حمله هدفمند جالبی شد. این حمله، یکی از تأمین کنندگان...

انتخاب انسیبل یا ترافرم برای F5 Application Services

انتخاب انسیبل یا ترافرم برای F5 Application Services

انتخاب انسیبل یا ترافرم برای F5 Application Services برای پیاده سازی و استفاده از F5 Application Services می توانید انسیبل (Ansible)، ترافرم (Terraform) یا هر دو را...

از «دواپس علیه سکاپس» تا «دِوسِکاپس»

از «دواپس علیه سکاپس» تا «دِوسِکاپس»

از «دواپس علیه سکاپس» تا «دِوسِکاپس» دی.اچ.آی گروپ (DHI Group) در AWS (سرویس های وب آمازون) در حال فعالیت است. ما یک پلتفرم کاریابی را برای کسب و...

رویکرد زیروتراست در کلود

رویکرد زیروتراست در کلود

رویکرد زیروتراست در کلود اصطلاح زیروتراست (Zero Trust) بیش از ده سال قدمت دارد اما اخیراً با ورود کسب و کارها به حوزه محافظت از داده ها و...

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون ما در دمیستو (Demisto) برای تهیه گزارش سالانه سوم در مورد وضعیت SOAR (هماهنگی، اتوماسیون و...

تلاش TrickBot برای ورود به شبکه

تلاش TrickBot برای ورود به شبکه

تلاش TrickBot برای ورود به شبکه تیم FortiGuard SE، اواخر ماه آگوست در وب سایت Virus Total موفق به کشف حمله هدفمند جالبی شد. این حمله، یکی از تأمین کنندگان...

انتخاب انسیبل یا ترافرم برای F5 Application Services

انتخاب انسیبل یا ترافرم برای F5 Application Services

انتخاب انسیبل یا ترافرم برای F5 Application Services برای پیاده سازی و استفاده از F5 Application Services می توانید انسیبل (Ansible)، ترافرم (Terraform) یا هر دو را...

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک CNCF (بنیاد محاسبات کلود نیتیو) سال گذشته دست به یک تست نفوذ زد تا آسیب پذیری های...

از «دواپس علیه سکاپس» تا «دِوسِکاپس»

از «دواپس علیه سکاپس» تا «دِوسِکاپس»

از «دواپس علیه سکاپس» تا «دِوسِکاپس» دی.اچ.آی گروپ (DHI Group) در AWS (سرویس های وب آمازون) در حال فعالیت است. ما یک پلتفرم کاریابی را برای کسب و...

رویکرد زیروتراست در کلود

رویکرد زیروتراست در کلود

رویکرد زیروتراست در کلود اصطلاح زیروتراست (Zero Trust) بیش از ده سال قدمت دارد اما اخیراً با ورود کسب و کارها به حوزه محافظت از داده ها و...

اصالت کالا
پشتیبانی
گارانتی تعویض
پست پیشتاز