Уязвимость в RouterOS (<6.49.7 и <6.48.6) позволяет поднять привилегии admin до super-admin (первый раз слышу об этом в контексте Mikrotik)
По факту - бояться нечего. Чтобы использовать уязвимость злоумышленнику уже нужна учетка на роутере. Да и эксплойта пока в паблике нет
MikroTik RouterOS stable before 6.49.7 and long-term through 6.48.6 are vulnerable to a privilege escalation issue. A remote and authenticated attacker can escalate privileges from admin to super-admin on the Winbox or HTTP interface. The attacker can abuse this vulnerability to execute arbitrary code on the system.
https://nvd.nist.gov/vuln/detail/CVE-2023-30799
По факту - бояться нечего. Чтобы использовать уязвимость злоумышленнику уже нужна учетка на роутере. Да и эксплойта пока в паблике нет
MikroTik RouterOS stable before 6.49.7 and long-term through 6.48.6 are vulnerable to a privilege escalation issue. A remote and authenticated attacker can escalate privileges from admin to super-admin on the Winbox or HTTP interface. The attacker can abuse this vulnerability to execute arbitrary code on the system.
https://nvd.nist.gov/vuln/detail/CVE-2023-30799
👍2🥱2💩1
Пока читал о CVE наткнулся на интересный пост о внутреннем устройстве RouterOS
Margin Research
Pulling MikroTik into the Limelight
A comprehensive guide to MikroTik internals, including IPC, hand-rolled cryptography, and a novel post-authentication jailbreak
🔥3
С Праздником, друзья!
Пусть новые технологии ещё долго будут нам интересны - это поддержит ясность ума
Пусть построенные нами системы будут надёжны - это улучшит наш отдых
Пусть партнёры выполняют свои обещания - это сделает мир лучше
За сисадминов! 🍺
Пусть новые технологии ещё долго будут нам интересны - это поддержит ясность ума
Пусть построенные нами системы будут надёжны - это улучшит наш отдых
Пусть партнёры выполняют свои обещания - это сделает мир лучше
За сисадминов! 🍺
👍32🍾5👨💻1
Forwarded from Street Art Hunter
Роутер
Автор: Grad 916
Адрес: г. Екатеринбург, Вторчермет (56.762695° 60.577451°)
PS: Всех причастных с днем системного администратор 👨💻
#ekaterinburg #grad916
Автор: Grad 916
Адрес: г. Екатеринбург, Вторчермет (56.762695° 60.577451°)
PS: Всех причастных с днем системного администратор 👨💻
#ekaterinburg #grad916
❤27👍19🔥3😁1
Forwarded from Sys-Admin InfoSec
🚀 Open SysConf'23 Открыта регистрация на 16 Сентября
Помимо регистрации, предварительно обозначены keywords/тематики конференции:
— eBPF "сниффинг"
— "Старт" в Kubernetes
— RHCSA "путь сертификации"
— "кто есть" Software Analyst
— Тестинг "нагрузочный"
— Применение профессионального опыта в разработке и автоматизации анализа рынка недвижимости
— Как сделать открытый сервис, который поддержали world level компании и проекты на примере OpenBLD.net DNS
Напоминаю: в этом году Open SysConf.io поддержала локацией и всем сопутствующим команда из Kolesa Group где собственно вчера в видео-приглашении и засветили локацию 👀.
Количество мест строго ограничено. Успевайте зарегистрироваться — Стать участником
Помимо регистрации, предварительно обозначены keywords/тематики конференции:
— eBPF "сниффинг"
— "Старт" в Kubernetes
— RHCSA "путь сертификации"
— "кто есть" Software Analyst
— Тестинг "нагрузочный"
— Применение профессионального опыта в разработке и автоматизации анализа рынка недвижимости
— Как сделать открытый сервис, который поддержали world level компании и проекты на примере OpenBLD.net DNS
Напоминаю: в этом году Open SysConf.io поддержала локацией и всем сопутствующим команда из Kolesa Group где собственно вчера в видео-приглашении и засветили локацию 👀.
Количество мест строго ограничено. Успевайте зарегистрироваться — Стать участником
🔥4👍1
https://healthchecks.io/
Проверялка периодических событий, например, cronjob или скриптов бэкапа. Просто обращаешься к заданному URL в конце скрипта. Если обращения в ожидаемое время не произошло, севис пришлет алерт
Почему не использовать свой внутренний сервис для таких целей? Да потому что если ляжет вся инфраструктура, то уведомления тебе отправить будет некомукак собственно и при падении стороннего сервиса 😊
Проверялка периодических событий, например, cronjob или скриптов бэкапа. Просто обращаешься к заданному URL в конце скрипта. Если обращения в ожидаемое время не произошло, севис пришлет алерт
Почему не использовать свой внутренний сервис для таких целей? Да потому что если ляжет вся инфраструктура, то уведомления тебе отправить будет некому
Healthchecks.io
Healthchecks.io – Cron Job Monitoring
Simple and efficient cron job monitoring. Get instant alerts when your cron jobs, background workers, scheduled tasks don't run on time.
👍1🔥1
Дипломированный девопс
https://magistratura.fa.ru/fakultet-informacionnyh-tehnologiy-i-analiza-bolshih-dannyh-29/devops-inzheneriya/
https://magistratura.fa.ru/fakultet-informacionnyh-tehnologiy-i-analiza-bolshih-dannyh-29/devops-inzheneriya/
😁3👍2🤪1
Forwarded from AWS Notes
ℹ️ 70% прибыли Amazon за последний квартал дал AWS.
Top10 спонсоров выпуска:
🔟 Серьёзному проекту - серьёзные виртуалки.
9️⃣ Временно запустим, потом выключим.
8️⃣ Если вдруг придут пользователи.
7️⃣ Сделай, чтобы надёжно было.
6️⃣ Поставь на всякий случай.
5️⃣ Чтобы точно не тормозило.
4️⃣ Не знаю, фигня какая-то.
3️⃣ А вдруг кому-то нужно.
2️⃣ Это до меня сделали.
1️⃣ Не трогай то, что работает!
Top10 спонсоров выпуска:
🔟 Серьёзному проекту - серьёзные виртуалки.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤1👍1
Forwarded from Флант | Специалисты по DevOps и Kubernetes
В ночь с 15 на 16 августа выйдет Kubernetes 1.28. Мы изучили все доступные источники — вплоть до issues и записей со встреч SIG’ов — и подготовили подробный обзор всех 44 нововведений.
Главные из них: оптимизация работы с sidecar-контейнерами и задачами (jobs), упрощение скользящих обновлений благодаря улучшению переадресации на серверы API, очередные шаги по размежеванию с инфраструктурой Google, а также KEP 3331 — самое крупное обновление в системе аутентификации K8s за последние шесть лет.
https://habr.com/ru/companies/flant/articles/754398
Репост в тематические чаты, каналы и сообщества приветствуется☺️
Главные из них: оптимизация работы с sidecar-контейнерами и задачами (jobs), упрощение скользящих обновлений благодаря улучшению переадресации на серверы API, очередные шаги по размежеванию с инфраструктурой Google, а также KEP 3331 — самое крупное обновление в системе аутентификации K8s за последние шесть лет.
https://habr.com/ru/companies/flant/articles/754398
Репост в тематические чаты, каналы и сообщества приветствуется☺️
Хабр
Kubernetes 1.28: прощание с Google, оптимизация работы с контейнерами и задачами, новый KEP от «Фланта»
Сегодня официально выходит новая версия Kubernetes — 1.28. Среди главных изменений — оптимизация работы с sidecar -контейнерами и задачами ( jobs ). Клиенты теперь будут переадресовываться на тот...
🔥4❤1
https://www.firezone.dev
Wireguard с мордой/селф сервис портал и сторонней авторизацией
Wireguard с мордой/селф сервис портал и сторонней авторизацией
👍6🔥3
Forwarded from k8s (in)security (Дмитрий Евдокимов)
CNCF опубликовало текст документа "Security Zero Trust using Cloud Native Platforms". Очень достойный документ, который в очередной раз заставляется задуматься о пользе постоянных сканирований, использования сигнатур и т.д. В итоге понять какие действительно меры рабочие в текущих реалиях.P.S. Всем хороших выходных!
🔥1
Forwarded from DOFH - DevOps from hell
Довольно познавательное чтиво для тех, кто хочет понимать логику и смысл оценки уязвимости в баллах
https://www.securitylab.ru/analytics/355336.php
https://www.securitylab.ru/analytics/355336.php
SecurityLab.ru
Полное руководство по общему стандарту оценки уязвимостей версии 2, Часть первая, Группы метрик
Общая система оценки уязвимостей (CVSS) – это открытая схема, которая позволяет обмениваться информацией об IT-уязвимостях.
🔥2👍1
Forwarded from Sys-Admin InfoSec
Следующие три доклада не о том, как построить "дом из кирпича и цемента" изучив материалы создателя технологии, а о том, как нашедши песок и камни, придумать свою технологию "постройки Пирамиды Хеопса"..
Кто знает, возможно это уникальный шанс увидеть, познакомиться с теми, кто творит технологии в реальном времени прямо здесь и сейчас:
Делаем XDR из дефолтного линукса
Real Estate Investment Fundamentals
Be yourself - Be focused
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🔥1
Перед экзаменом я купил доступ к killer.sh за $29+VAT. Он на 36 часов дает доступ к среде, повторящей среду сдачи экзамена и 25 вопросов, которые значительно сложнее того, что есть на самом экзамене. Это позволяет понять как выглядит экзамен и в каких темах есть пробелы в знаниях и подтянуть их.
Сам экзамен состоит из 17 вопросов, на которые отводится два часа. Как и в других экзаменах на тебя постоянно смотрят в камеру и запрещаютковыряться в носу смотреть в сторону от экрана, подносить руки ко рту, икать и делать всё, что не похоже на нажатия клавиш на клавиатуре, что иногда очень раздражает и ты думаешь не о вопросах, а о том как бы не вызвать очередное раздражение проктора
Описание экзамена все могут посмотреть на оф сайте, но я то знаю, что вам лень, поэтому вот некоторые вопросы из него:
- обновить control-plane ноду с 1.27.1 до 1.27.2. Не зааффектив при этом прод. То есть drane, uncordon, всё такое
- ой, у нас кластер сломался. Почини. Идешь на контрол плейн и читаешь логи. Потом правишь systemd юниты и статик манифесты аписервера и планировщика
- создай networkPolicy, чтобы работало вот так. Дальше простое правило, типа разрешить доступ из конкретного нс к конкретному порту
- самый простой вопрос был: отскейли деплоймент до пяти реплик. Я даже подумал, что где-то подвох
- сделай бэкап etcd и разверни на другой ноде
- сделай демонсет
- сделай PVC и деплоймент его использующий
Проктора, кстати, пришлось ждать аж 20 минут. И это я был девятый в очереди. А ещё перед экзаменом читал отзывы и там писали, что надо использовать внешний монитор вместо стандартного ноутбучного. Я пренебрег этим советом, а зря. Интерфейс экзамена занимает много места и часть окошек внутри сжимается до невероятных размеров - очень неудобно пользоваться браузером (да, да - можно ходить по докам куба)
Покупал бандл из CKA+CKS в прошлую черную пятницу (ноябрь 22) за ~$220 вместо $250 за каждый
Сам экзамен состоит из 17 вопросов, на которые отводится два часа. Как и в других экзаменах на тебя постоянно смотрят в камеру и запрещают
Описание экзамена все могут посмотреть на оф сайте, но я то знаю, что вам лень, поэтому вот некоторые вопросы из него:
- обновить control-plane ноду с 1.27.1 до 1.27.2. Не зааффектив при этом прод. То есть drane, uncordon, всё такое
- ой, у нас кластер сломался. Почини. Идешь на контрол плейн и читаешь логи. Потом правишь systemd юниты и статик манифесты аписервера и планировщика
- создай networkPolicy, чтобы работало вот так. Дальше простое правило, типа разрешить доступ из конкретного нс к конкретному порту
- самый простой вопрос был: отскейли деплоймент до пяти реплик. Я даже подумал, что где-то подвох
- сделай бэкап etcd и разверни на другой ноде
- сделай демонсет
- сделай PVC и деплоймент его использующий
Проктора, кстати, пришлось ждать аж 20 минут. И это я был девятый в очереди. А ещё перед экзаменом читал отзывы и там писали, что надо использовать внешний монитор вместо стандартного ноутбучного. Я пренебрег этим советом, а зря. Интерфейс экзамена занимает много места и часть окошек внутри сжимается до невероятных размеров - очень неудобно пользоваться браузером (да, да - можно ходить по докам куба)
Покупал бандл из CKA+CKS в прошлую черную пятницу (ноябрь 22) за ~$220 вместо $250 за каждый
🔥12👍4
Курс Мумшада про СKS выглядит интересно даже для тех, кто не работает с кубом. Тут и AppArmor, и SSH Hardening, и модули ядра, и СIS Benchmarks. Выписал себе интересные темы, попробую найти на ютубе лекции по этим темам. Если найду - обязательно поделюсь. Нет, мне не жалко денег Мумшаду, просто хочется чуть глубже разобраться в темах
Cluster Setup and Hardening:
- The 4C's of Cloud NAtive Security
- CIS Benchmarks for OS and k8s
- Kube-bench
- TLS
- KubeConfig
- API Groups
- Dashboard and its securing
- Verify platform binaries
- Securing ControlPlane Communications with Ciphers
System Hardening:
- Minimize host OS footprint info
- Limit Node Access
- SSH Hardening
- Restrict Kernel Modules
- AquaSec Tracee
- Restrict syscalls using seccomp
- Implement seccomp in k8s
- AppArmor
- Linux Capabilities
Minimize Microservice Vulnerabilities:
- Security Contexts
- Admission Controllers
- Open Policy Agent
- Gatekeeper
- Container Sandboxing
- gVisor
- kata containers
- Runtime Classes
- One way SSL VS mutual SSL
- Pod to pod encryption with mTLS
Supply Chain Security:
- Minimize base image footprint
- Whitelist Allowed Registries - Image Policy Webhook
- Use static analysis of user workloads
- kubesec
- Trivy
Monitoring, Logging, Runtime Security
- Perform behavioral analytics of syscall process
- Falco
- Audit Logs
Cluster Setup and Hardening:
- The 4C's of Cloud NAtive Security
- CIS Benchmarks for OS and k8s
- Kube-bench
- TLS
- KubeConfig
- API Groups
- Dashboard and its securing
- Verify platform binaries
- Securing ControlPlane Communications with Ciphers
System Hardening:
- Minimize host OS footprint info
- Limit Node Access
- SSH Hardening
- Restrict Kernel Modules
- AquaSec Tracee
- Restrict syscalls using seccomp
- Implement seccomp in k8s
- AppArmor
- Linux Capabilities
Minimize Microservice Vulnerabilities:
- Security Contexts
- Admission Controllers
- Open Policy Agent
- Gatekeeper
- Container Sandboxing
- gVisor
- kata containers
- Runtime Classes
- One way SSL VS mutual SSL
- Pod to pod encryption with mTLS
Supply Chain Security:
- Minimize base image footprint
- Whitelist Allowed Registries - Image Policy Webhook
- Use static analysis of user workloads
- kubesec
- Trivy
Monitoring, Logging, Runtime Security
- Perform behavioral analytics of syscall process
- Falco
- Audit Logs
Kodekloud
Certified Kubernetes Security Specialist (CKS) Course | KodeKloud
course by KodeKloud. Learn with our interactive labs and personalized guidance that prepares you for real jobs complete with labs, quizzes, and mock exams.
🔥6❤1👍1