[Перевод] Анализ хака Kubernetes — бэкдор через kubelet

Чтобы ничего не знать о Kubernetes, надо было последние три года прожить в пещере. В Handy инфраструктура разработки, CI/CD и продакшена построена на многокластерной экосистеме Kubernetes. Можно сказать, что мы в Handy фанаты Kubernetes, вот почему мы так удивились, когда личный кластер Kubernetes нашего коллеги в прошлые выходные взломали.

Удивились — и обрадовались, так как обнаружили в Kubernetes один малоизвестный глюк. В этой статье мы рассмотрим, как был взломан кластер коллеги и как мы подтвердили свои выводы, воссоздав эту атаку в собственном кластере. Атака была протестирована в Kubernetes 1.9, но может работать и на более старых кластерах.

ДИСКЛЕЙМЕР: эта статья о личном сервере нашего коллеги. Инфраструктура Handy Technologies не была скромпрометирована.

Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Спираль эволюции веб-дизайна: от десктопной версии к адаптиву и обратно к многоликости
• Окружайте, так удобнее промахиваться! Встроенные в Hugging Face проверки ML-моделей против одного сканера
• [Перевод] Проблемы санации SVG
• Яндекс Плюс AdTech: как экосистемные решения обеспечили рост продаж билетов на фильм «Горыныч»
• Молодые дизайнеры против алгоритмов: страх перед ИИ испытывает лишь каждый десятый
• Безопасность приложений на Typescript от А до Я: гайд по защите от очевидных и не очень уязвимостей
• Доля рекламных бюджетов под управлением ИИ в Яндексе достигла 85%
• Яндекс начинает эксперименты с монетизацией каналов в MAX
• Мобильный инвентарь Рекламной сети Яндекса вырос на 55%
• PhantomRShell: бэкдор, который маскируется с помощью дизассемблера