on
Issue 4
- 🗞️ Article
- A story of three CVE’s in Ubuntu Desktop
- Understanding and mitigating CVE-2020-8566: Ceph cluster admin credentials leaks in kube-controller-manager log
- Introducing Semgrep and r2c
- Abusing Teams client protocol to bypass Teams security policies
- Introducing KubeLinter - an open source linter for Kubernetes
- Security hardening for GitHub Actions
- 🧰 Tools
- 💣 CVE
- CVE-2020-8551: Kubelet resource exhaustion attack via metric label cardinality explosion from unauthenticated requests
- CVE-2020-8553: Compromise of auth via subset/superset namespace names.
- CVE-2020-8555: Half-Blind SSRF found in kube/cloud-controller-manager can be upgraded to complete SSRF (fully crafted HTTP requests) in vendor managed k8s service.
- CVE-2020-8559: Compromise of node can lead to compromise of pods on other nodes
- 💰 BugBounty
🗞️ Article
A story of three CVE’s in Ubuntu Desktop
Ubuntu Desktop で利用されている D-Bus の脆弱性についての Writeup.
Understanding and mitigating CVE-2020-8566: Ceph cluster admin credentials leaks in kube-controller-manager log
Ceph クラスタのクレデンシャルが log に記録されてしまうバグの紹介。また、それを falco で検知する方法についても取り上げている。
Introducing Semgrep and r2c
Semgrep の紹介。 https://semgrep.dev/s/ievans:python-exec にあるように別名で import している場合も検出できる。
Abusing Teams client protocol to bypass Teams security policies
Microsoft Teams のポリシーをバイパスすることでメッセージの削除などを行える仕様について。
ポリシー要求リクエストに対するレスポンスを書き換えることで可能。
Introducing KubeLinter - an open source linter for Kubernetes
KubeLinter の紹介。Pod のセキュリティ設定の不備などを指摘する Linter.
Security hardening for GitHub Actions
GitHub Actions の Hardening について。機密情報の扱いやサードパーティアプリを使う場合の注意点、self-hosted runners のセキュリティについて書かれている。
Strict Transport Security vs. HTTPS Resource Records: the showdown
DNS の HTTPS レコードの策定と Strict Transport Security (HSTS) との違いについて。
発見した0dayについての技術的解説 - EC-Cube, SoyCMS, BaserCMS
EC-CUBE などの EC アプリケーションの Unautheticated RCE などの解説。
🧰 Tools
LloydLabs/wsb-detect
Windows Sandbox で動作しているかを検出するライブラリ。
smallstep/autocert
anotations を書くだけで Pod に対して mTLS できる add-on.
Tsuku43/zoomg
Zoom のバーチャル背景適用済みの動画から部屋の画像を復元できるライブラリ。
アルゴリズムについては https://github.com/Tsuku43/zoomg/blob/master/ALGORITHM.md に解説があり、AVTokyo 2020 でも発表があった模様。
💣 CVE
CVE-2020-8551: Kubelet resource exhaustion attack via metric label cardinality explosion from unauthenticated requests
細工したリクエストを大量に kubelet に送信してメモリ使用量を増大させることが可能な脆弱性。
http request のカウンタを持っており、ランダムなパスに送信し続けることで発火可能。
CVE-2020-8553: Compromise of auth via subset/superset namespace names.
ユーザーが namespace を作成できる場合、 nginx.ingress.kubernetes.io/auth
annotations によって作られたパスワードを上書きできる問題。
namespace a
を作成し、ingress b-c
を作成すると a-b-c.passwd
というファイルが作成されることを利用して、namespace a-b
と ingress c
を作成することで上書きする。
CVE-2020-8555: Half-Blind SSRF found in kube/cloud-controller-manager can be upgraded to complete SSRF (fully crafted HTTP requests) in vendor managed k8s service.
Controller manager から任意のエンドポイントに対する SSRF が可能な問題。glusterfs を使った StorageClass を作成する際に細工したリクエストを送信することで発火。
また、特定バージョンでは Go のバージョンが古いため、HTTP smuggling も可能。
CVE-2020-8559: Compromise of node can lead to compromise of pods on other nodes
攻撃者が Node を侵害できた場合に偽の kubelet を動かすことで exec
リクエストを別のノードにリダイレクトすることで、別のノードにも侵害できる。
💰 BugBounty
Leaking size of cross-origin resource by caching it twice in chromium
リソースを 2 回キャッシュさせることで差分からレスポンスサイズをリークできるバグ。
Hey で複数の脆弱性
- https://hackerone.com/reports/988272
svg
内の CDATA を利用した XSS. さらにデスクトップアプリでの RCE.
- https://hackerone.com/reports/1010132
- DOM Based XSS
- https://hackerone.com/reports/982291
- Stored XSS