26 ноября в Санкт-Петербурге наша команда Luntry примет участие в легендарной конференции ZeroNights.

От нас выступит Сергей Канибор с темой  "Истории Kubernetes пентестов: путь через уязвимости" на OffensiveTrack.  В рамках доклада мы поделимся интересными кейсами из нашего опыта проведения пентестов Kubernetes кластеров и сосредоточимся на случаях связанных с компрометацией К8s через уязвимости.

Не трудно догадаться, что также у доклада будет продолжение, где мы уже представим кейсы компрометации К8s через мисконфигурации ;)

Сегодня хотим поделиться небольшой статьей "How We Rebuilt Our Vault Architecture with Raft, Snapshots, and DR".

В статье рассказывается о том как инеженры переработали архитектуру Vault, перейдя с внешнего хранилища на встроенное Raft-хранилище, что позволило снизить расходы и повысить отказоустойчивость. Они запустили кластер из трёх Vault-нод в Kubernetes, где Raft обеспечивает репликацию и автоматический выбор лидера — при сбое один из фолловеров мгновенно берёт на себя роль.

Для защиты данных настроены ежедневные snapshots состояния кластера, которые сохраняются в Azure Blob Storage, а отдельный DR-кластер периодически восстанавливается из этих snapshots. При этом переключение трафика между продакшеном и DR происходит через единый DNS, а система мониторится: DevOps-команда получает оповещения о сбоях снапшотов, восстановлении или проблемах со здоровьем кластера.

На нашем сайте Luntry в разделе исследований стала доступна видеозапись доклада "1000 и 1 способ избавиться от уязвимостей в контейнерных приложениях" с CyberCamp 2025.

Всем хороших выходных!

NP-Guard - это инструмент, помогающий работать с Kubernetes Network Policy в манере Shift Left. При работе с сетевыми политиками он позволяет их:
- Генерировать
- Поддерживать
- Контролировать минимальность и достаточность

Для этого он анализирует файлы приложений, существующие политики и сетевые сущности, фактический трафик, базовые требования по безопасности.

И все это можно интегрировать в CI!

Также рекомендуем посмотреть доклад "Demonstration of Automatic Kubernetes Network Policies Generation" с последнего KubeCon CloudNativeCon North America, где авторы используют данный инструмент и еще сравнивают результаты его работы с результатами LLM ;)

P.S. Если вы еще не используете NetworkPolicy или используете другие способы, то вы очень многое теряете!

Сегодня хотим поделиться небольшим хаком – как прочитать Service Account token в distroless контейнере, причем даже если в контейнере нет openssl.

kubectl exec fluent-bit-pz7h2 -- /proc/1/exe -i head -p file=/var/run/sercrets/kubernetes.io/serviceaccount/token -p buf_size=1000000 -o stdout -m '*' -q -f 1 2>&1

На этой неделе 28 ноября в 11:00 наша команда проведет вебинар «Интеграция Luntry и ASOC». На вебинаре наглядно продемонстрируем, как Luntry может быть встроена в процесс безопасной разработки.

Также разберем:
- Какие данные можно отправлять в ASOC
- Как это сделать
- Почему это важно в разрезе DevSecOps
- Покажем на примере нескольких ASOC-решений как это выглядит

Как всегда, можно будет задать вопросы и получить практические советы по обеспечению безопасности контейнерных сред.

Зарегистрируйтесь, чтобы получить напоминание об эфире, запись после него и наш подарок ;)

Постепенно начинают выкладывать доклады с KubeCon CloudNativeCon North America 2025. Но пока это касается не основной конференции, а под конференций в ее составе. Нас с точки зрения безопасности тут интересует две:
- KyvernoCon
- Open Source SecurityCon

P.S. А мы сегодня большим составом на ZeroNights 2025 - приходите пообщаемся в живую =)

Вышла версия Kyverno 1.16 и там достаточно много интересных изменений. Отметим самые интересные на наш взгляд:

1) Kyverno продолжает развивать поддержку CEL политик и добавляет 3 новых ресурса – NamespacedValidatingPolicy, NamespacedDeletingPolicy, и NamespacedImageValidatingPolicy.

2) Детализированные исключения из политик. Их немного докрутили и добавили Image-based exceptions, Value-based exceptions и Configurable reporting status.

3) Kyverno Authz Server. Сервер авторизации Kyverno применяет политики Kyverno для авторизации запросов к Envoy и для обычных HTTP-сервисов как автономный сервер HTTP-авторизации, возвращая решения о разрешении/запрете на основе того же механизма политик, который используется в Kubernetes. С проектом можно ознакомиться более подробно тут.

На нашем сайте Luntry в разделе исследований стали доступны слайды "Подключение Kubernetes к SOC: подводные камни" с конференции SOC FORUM 2025.

Всем хороших выходных!

P.S. Сегодня в 11:00 мы проведем вебинар про интеграцию Luntry с системами класса ASOC!

На прошлой недели мы рассказывали про обновление Kyverno, но на самом деле, примерно в это же время вышла новая версия OPA Gatekeeper – 3.21.0.

Помимо исправлений багов, были добавлены важные изменения:

1) Флаг sync-vap-enforcement – позволяет синхронизировать VAP c ValidatingWebhookConfigurations и исключениями.

2) ConstraintTemplates теперь поддерживают определение операций, к которым должен применяться шаблон (например, CREATE, UPDATE, DELETE).

3) Добавлены новые метрики и отчеты о статусе для функции External Data/ Provider API , что улучшает наблюдаемость при интеграции внешних источников данных в оценку политики.

5 декабря 2025 в 11.00 наша команда Luntry совместно с командой платформы управления средами контейнерной оркестрации «Штурвал» проведет вебинар "Синергия безопасности Luntry и Штурвал. Часть 1"!

Luntry и Штурвал вместе создают сквозной контур безопасности для Kubernetes, который не только обнаруживает уязвимости, но и предоставляет инструменты для их оперативного устранения и даже предотвращения.

В рамках первой части мы коснёмся 3 областей:
- Прав доступа;
- Сетевой безопасности;
- Мультитенантности и контроля Kubernetes ресурсов.

Зарегистрироваться можно тут.

В начале ноября увидела свет OCI Runtime Spec v1.3. Спецификация не стоит на месте, а развивается. Подробнее о ее изменениях можно почитать тут. А мы лишь отметим что там завезли поддержку FreeBSD и соответственно механизма jails.

При этом развитие спецификации идет дальше и там обещают добавить Landlock LSM и vTPM.

P.S. Не забывайте и про другие интерфейсы, которые тоже развиваются.

Исследователи из Oligo Security обнаружили несколько критичных уязвимостей в FluentBit – де-факто стандарт среди инструментов для сбора, обработки и форвардинга логов, в том числе и для контейнерных приложений.

В результате успешной экспулатации, уязвимости позволяют потенциальному злоумышленнику выполнять произвольное чтение файлов, RCE, а также обход аутентификации.

Исправления доступны для версий 4.2.0, 4.1.1 и 4.0.12.

На нашем сайте Luntry в разделе исследований стали доступны слайды "Истории Kubernetes пентестов: путь через уязвимости" с конференции ZeroNights 2025.

Так как это собранные истории из нашей практики, их конечно лучше слушать и чисто из слайдов может быть не все понятно. НО видео обязательно будет доступно позже ;)

А мы уже в работе над второй частью, которая будет посвящена не уязвимостям, а мисконфигурациям!

Закачиваем эту неделю небольшим проектом – kube-audit-mcp. Это MCP Server для Kubernetes Audit Log.

Может подключаться к различным популярным MCP Client (Claude Code, Claude Desktop и т.д), обрабатывать тысячи строк логов и выдвать ответ по простому запросу вроде: "Кто создал секрет my-secret в неймспейсе foobar за последние два дня"?

На конференции HEXACON 2025 был представлен любопытнейший доклад под названием "CUDA de Grâce: Owning AI Cloud Infrastructure with GPU exploits".

В нем рассказывается про 0day уязвимость в NVIDIA CUDA driver (CVE в докладе у баги и в правду отсутствует ...)! Сами авторы это описывают так: "... bypass modern kernel mitigations (such as CONFIG_SLAB_VIRTUAL that protects against cross-cache attacks) to escape hardened containers and gain root on the host. With a single vulnerability granting kernel mode execution, attackers can escalate to root on the host and breach multi-tenant isolation, exposing the models, datasets, and credentials of every tenant sharing the GPU."

Сейчас доступны и слайды и видео и PoC ;)

С 8 по 11 декабря в Лондоне проходит конференция Black Hat Europe 2025.

Breaking AI Inference Systems: Lessons From Pwn2Own Berlin – один из докладов, зацепивших наше внимание.

В докладе рассказывается об успешных атаках на реальную AI-инфраструктуру, включая Ollama и NVIDIA Triton Inference Server. Авторы описывают методологию исследований безопасности: моделирование угроз, фаззинг форматов файлов и анализ плагинов, в ходе которых были найдены обход аутентификации в Ollama и удалённое выполнение кода через командную инъекцию в Triton. Также кратко рассматриваются другие цели, такие как RedisAI, ChromaDB и NVIDIA Container Toolkit.

Также в рамках конференции будут представлены результаты Zeroday Cloud.

Сегодня рассмотрим набор практических лаб "Docker Security: A Practical Guide". На текущий момент он состоит из 8 тем:
1) Security Auditing - использование Docker Bench Security для CIS compliance
2) Secure Images - харденинг образа (работа с capability, read-only root filesystems и т.д.)
3) Least Privilege - ограничение возможностей контейнера через namespace и запуск от не привилегированного пользователя
4) Image Signing - работа с Cosign
5) Custom Seccomp Profiles - фильтрация Linux syscall
6) AI/ML Security - защита контейнеров с инференсом
7) Supply Chain Security - работа с SBOM и сканерами уязвимостей (Syft, Grype)
8) Network Architecture - сегментация и шифрование

Все это еще поделено на 2 уровня: Fundamentals (1-6) на 6 часов и Advanced (7-8) на 3 часа.

Вчера завершился первый день демонстрации эксплойтов с контеста Zeroday Cloud, проходящего в рамках конференции BlackHat Europe в Лондоне.

Исследователи показали 100% успешных запланированных эксплойтов для Redis, PostgreSQL, Grafana и самое интересное – Linux Kernel. А это значит, что совсем скоро мы увидим новую багу в ядре, приводящую к побегу из контейнера. По условиям контеста, контейнер должен запускаться с минимальными правами:

docker run --rm -it <image>

Сегодня, во второй день мероприятия, исследователи представят эксплойты для Redis, PostgreSQL, vLLM, MariaDB и Ollama.

Наша команда Luntry рада сообщить, что мы начали готовить конференцию БеКон 2026!

Планируется ряд нововведений:
- Новая площадка
- Множество активностей
- 2 трека докладов (ингредиенты и рецепты)
- Расширенный CFP комитет (как следствие пункта выше)
- Возможность влиять на программу конференции (детали будут позже)
- Маскот конференции (его уже можно найти на страницах сайта ;)

А уже сейчас можно:
- Спланировать поездку в Москву на 2 июня
- Зарегистрироваться на получение earlybirds цены
- Стать партнёром мероприятия
- Подать заявку на доклад (CFP)

В общем, с еще большим напором будем продвигать тему безопасности контейнеров и Kubernetes в массы!

P.S. Почти по всем нововведениям сделаем отдельные посты, чтобы раскрыть что это и для чего сделано.