اخبار

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

اگر تست های نفوذ به درستی انجام شوند، روش های خوبی را برای بهبود کیفیت امنیت نرم افزار به ما نشان می دهند. تست کوبرنتیز به خوبی و دقیق طراحی شده بود. این تست به یافته های متعددی دست یافت که از جمله آن ها می توان به شناسایی چند آسیب پذیری جدید و توصیه هایی برای بهبود امنیت اشاره کرد. پروژه کوبرنتیز برای بررسی پیشرفت 37 مشکل یافت شده، #81146 را به عنوان یک ترکر ساده باز کرد.

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

CNCF (بنیاد محاسبات کلود نیتیو) سال گذشته دست به یک تست نفوذ زد تا آسیب پذیری های امنیتی ناشناخته و نقاط ضعف طراحی کوبرنتیز (Kubernetes) را شناسایی کند. گزارش نهایی در منبع کارگروه منتشر شد که از این لینک قابل دسترس است.

اگر تست های نفوذ به درستی انجام شوند، روش های خوبی را برای بهبود کیفیت امنیت نرم افزار به ما نشان می دهند. تست کوبرنتیز به خوبی و دقیق طراحی شده بود. این تست به یافته های متعددی دست یافت که از جمله آن ها می توان به شناسایی چند آسیب پذیری جدید و توصیه هایی برای بهبود امنیت اشاره کرد. پروژه کوبرنتیز برای بررسی پیشرفت 37 مشکل یافت شده، #81146 را به عنوان یک ترکر ساده باز کرد.

ما سؤالات متعددی از مشتریان خود دریافت کردیم که در مورد این گزارش بودند. در ادامه به پرتکرارترین سؤالات پاسخ خواهیم داد. با دریافت اطلاعات بیشتر این پست را بروزرسانی خواهیم کرد.

  1. چرا گزارش قبل از بررسی تمام مشکلات منتشر شد؟

افشای یافته های گزارش قبل از انتشار علناً اعلام نشده بود. اگرچه جامعه از تست نفوذ آگاهی داشت اما افشای نتایج از جمله آسیب پذیری های رفع نشده بدون اطلاع قبلی بود. آریل زلیوانسکی (Ariel Zelivansky) که رهبری تیم تحقیقاتی ما را به عهده داشت برای بهبود امنیت افراد، #3982 را باز کرد تا در مورد توسعه فرایندهای هماهنگ تر برای افشا و رفع مشکل پویا صبحت کند. یافته های آینده در مورد آسیب پذیری ها، میان نگهدارنده ها و عرضه کنندگان هماهنگ خواهند شد تا هنگام افشای آسیب پذیری ها، راه حل رفع آن ها هم وجود داشته باشد.

  1. آیا تاکنون توئیست لاک (Twistlock) این آسیب پذیری های جدید را شناسایی کرده است؟

بخش استریم هوش (Intelligence Stream) ما، داده های آسیب پذیر ده ها عرضه کننده و ارائه دهنده رده بالا را به کار می گیرد تا مجموعه داده های مورد نیاز برای شناسایی آسیب پذیری های محیط هر یک از مشتریان را فراهم کند. چون انتشار این گزارش غیرمنتظره بود، به بسیاری از این آسیب پذیری ها هنوز هیچ CVE تخصیص داده نشده است و در نتیجه بسیاری از عرضه کنندگان هنوز نتوانسته اند آسیب پذیر بودن یا نبودن توزیع های خود را مورد ارزیابی قرار دهند. با انجام این ارزیابی ها توسط عرضه کنندگان و انتشار نتایج خود، بخش Intelligence Stream به صورت خودکار این آسیب پذیری ها را دریافت می کند و به توئیست لاک کمک می کند آن ها را شناسایی کند. آنالیز آسیب پذیری های اخیراً افشا شده توسط عرضه کنندگان معمولاً سریع و در عرض چند ساعت پس از افشای آن انجام می شود. اما در این صورت ممکن است ارزیابی برخی از یافته های با اولویت کمتر، کمی بیشتر طول بکشد. علاوه بر این به دلیل حجم زیاد یافته ها ممکن است انتشار داده های CVE نیز کمی بیشتر زمان ببرد.

نیازی نیست مشتریان اقدام خاصی انجام دهند. به محض این که عرضه کنندگان داده های آسیب پذیری را منتشر کنند به صورت خودکار توسط Intelligence Stream دریافت شده و برای شناسایی آسیب پذیری های محیط شما مورد استفاده قرار می گیرد.

  1. توئیست لاک چگونه از من در برابر این آسیب پذیری ها محافظت می کند؟

توئیست لاک کنترل های مختلفی در خود دارد که می توانند تأثیر یافته های گزارش را کاهش دهند. از میان 37 یافته، تنها پنج مورد در رده پرتأثیر قرار دارند. از این میان این پنج مورد هم یک مورد به جای نام «آسیب پذیری»، بهینه سازی پیشنهادی نام گرفت. ما در ادامه به بررسی این پنج مورد خواهیم پرداخت.

  1. توئیست لاک چگونه می تواند عمل محافظت در برابر این مشکلات را انجام دهد؟

hostPath PersistentVolumes به PodSecurityPolicy امکان بایپس می دهد

توئیست لاک دو اقدام برای رفع تهدید انجام می دهد: اقدام اول هشدارهای مانیتورینگ کوبرنتیز در مورد پادهایی (pod) است که با مجوزهای اضافی ایجاد شده اند (دسترسی به مانت های هاست «host mounts»). اقدام دوم قاعده پیروی است که در صورت ایجاد پادهایی با مانت های هاست هشدار می دهد یا مسدود می کند (این مورد همان تست مطلوبیت (کمپلاینس چک) #55 در توئیست لاک است).

کوبرنتیز باطل کردن گواهینامه را ساده نمی کند

این کار یک بهینه سازی امنیتی پیشنهادی است. تغییر کلید تعداد زیادی گواهینامه کاری بسیار سنگین و دشوار است. یافته ها نشان می دهد که بهتر است آن را ساده کنید. اگرچه ما هم معتقدیم که این یک بهینه سازی امنیتی بسیار مفید است اما در دسته آسیب پذیری ها قرار نمی گیرد و هیچ ریسکی را به کاربران امروزی تحمیل نمی کند. به دلیل این که یک بهینه سازی پیشنهادی برای پلتفرم محسوب می شود، به عنوان یک محصول امنیتی خارج از بحث ماست.

Kubernetes

اتصالات HTTPS تأیید نشده اند

ریسک اصلی در این مورد، دسترسی تصادفی به etcd است. پادها معمولاً به شکل مستقیم به etcd دسترسی ندارند و مانند فایروال شبکه Cloud Native ما به صورت خودکار الگوهای ترافیک عادی را یاد می گیرد. ما این اتصال غیرعادی را مسدود می کنیم. علاوه بر این حمله نیازمند ایجاد یک کوبلت (kubelet) مخرب است که ما به مشتریان کمک می کنیم با استفاده از قابلیت Trusted Images (ایمیج های مورد اعتماد) جلوی آن ها را بگیرند. این قابلیت به نرم افزار اجازه می دهد فقط از رجیستری ها و منابع تأیید شده اجرا شود.

آسیب پذیری TOCTOU (زمان بررسی تا زمان استفاده) هنگام انتقال PID به cgroup مدیر از طریق کوبلت

در این آسیب پذیری فرایند درون یک کانتینر (container) توانایی نوشتن بر روی دیوایس های روی هاست را دارد. امکانات دفاعی ران تایم ما به صورت خودکار این نوع حملات را شناسایی می کنند و مانع آن ها می شوند. توئیست لاک به صورت خودکار یاد می گیرد که این رفتار برای دسترسی به سیستم فایل عادی نیست و مانع آن می شود.

پچ شدن صحیح حمله پیمایش دایرکتوری (directory traversal) در kubectl cp

نام این حمله CVE-2019-1002101 است که اوایل امسال آریل (Ariel) موفق شد آن را پیدا کند. برای اطلاعات بیشتر در مورد آن می توانید به این لینک مراجعه کنید. CVE دارای یک ایمیج مخرب است (که با قابلیت Trusted Images می توان جلوی آن را گرفت) و با فقط-خواندنی کردن rootfs می توان جلوی آن را گرفت و ما نیز برای آن تست مطلوبیت (کمپلاینس چک) انجام می دهیم.

شاید این مطالب نیز برای شما جالب باشد

مقایسه فایروال های سیسکو ، پالوآلتو ، فورتی گیت و چک پوینت

مقایسه فایروال های سیسکو ، پالوآلتو ، فورتی گیت و چک پوینت

در این پست قصد داریم به مقایسه فایروال فورتی گیت FG-201E (مشخصات این محصول به غیر از وجود هارد داخلی همانند FG-200E است.) با فایروال های مشابه در...

مزایای ارتقا به سوییچ های سری 9200 سیسکو

مزایای ارتقا به سوییچ های سری 9200 سیسکو

چرا باید به سوییچ های سری 9200 سیسکو مهاجرت کرد؟ در عین سادگی ولی بدون ریسک امنیتی سوییچ های سری 9200 سیسکو برای شبکه های Intent-based طراحی...

اطلاعیه سوئیچ های سری 2960 و 2960-SF catalyst سیسکو catalyst

اطلاعیه سوئیچ های سری 2960 و 2960-SF catalyst سیسکو catalyst

اطلاعیه تاریخ پایان فروش و پایان عمر سوئیچ های سیسکو سری  2960-S و 2960-SF catalyst بنابر گزارش سیسکو آخرین مهلت برای سفارش سوئیچ های سری 2960-S   و...

نگاهی اجمالی به FortiView

نگاهی اجمالی به FortiView

در این بخش به بررسی اجمالی گزینه های FortiView و ویژگی های مربوط به آن خواهیم پرداخت. FortiView بطور پیش فرض بر روی دستگاه های فورتی گیت که دارای...

تفاوت لایسنس آنلاین و آفلاین در فایروال های فورتی گیت

تفاوت لایسنس آنلاین و آفلاین در فایروال های فورتی گیت

تفاوت لایسنس آنلاین و آفلاین در فایروال های فورتی گیت همان طور که در مقاله قبلی به صورت کلی لایسنس های فورتی گیت را بررسی کردیم، امروز...

مقایسه فایروال های سیسکو ، پالوآلتو ، فورتی گیت و چک پوینت

مقایسه فایروال های سیسکو ، پالوآلتو ، فورتی گیت و چک پوینت

در این پست قصد داریم به مقایسه فایروال فورتی گیت FG-201E (مشخصات این محصول به غیر از وجود هارد داخلی همانند FG-200E است.) با فایروال های مشابه در...

مزایای ارتقا به سوییچ های سری 9200 سیسکو

مزایای ارتقا به سوییچ های سری 9200 سیسکو

چرا باید به سوییچ های سری 9200 سیسکو مهاجرت کرد؟ در عین سادگی ولی بدون ریسک امنیتی سوییچ های سری 9200 سیسکو برای شبکه های Intent-based طراحی...

اطلاعیه سوئیچ های سری 2960 و 2960-SF catalyst سیسکو catalyst

اطلاعیه سوئیچ های سری 2960 و 2960-SF catalyst سیسکو catalyst

اطلاعیه تاریخ پایان فروش و پایان عمر سوئیچ های سیسکو سری  2960-S و 2960-SF catalyst بنابر گزارش سیسکو آخرین مهلت برای سفارش سوئیچ های سری 2960-S   و...

نگاهی اجمالی به FortiView

نگاهی اجمالی به FortiView

در این بخش به بررسی اجمالی گزینه های FortiView و ویژگی های مربوط به آن خواهیم پرداخت. FortiView بطور پیش فرض بر روی دستگاه های فورتی گیت که دارای...

تفاوت لایسنس آنلاین و آفلاین در فایروال های فورتی گیت

تفاوت لایسنس آنلاین و آفلاین در فایروال های فورتی گیت

تفاوت لایسنس آنلاین و آفلاین در فایروال های فورتی گیت همان طور که در مقاله قبلی به صورت کلی لایسنس های فورتی گیت را بررسی کردیم، امروز...

آموزش راه اندازی اولیه فایروال فورتی گیت

آموزش راه اندازی اولیه فایروال فورتی گیت

آموزش راه اندازی اولیه فایروال فورتی گیت در این ویدئو قصد داریم راه اندازی اولیه فایروال فورتی گیت را به شما آموزش دهیم ، زیر نویس فارسی...

اصالت کالا
پشتیبانی
گارانتی تعویض
پست پیشتاز