Voxxed Days: DevOoops di Gianluca Varisco

G.Varisco al Voxxed Days in Ticino

G.Varisco al Voxxed Days in Ticino

Continuous integration tools

Jenkins

Jenkins

Tra i vari strumenti disponibili, Jenkins rappresenta sicuramente il più diffuso anche tra i presenti al Voxxed Days in Ticino, ma non per questo privo di pericoli e i security advisory sono tanti. Basta una rapida ricerca su Shodan per trovare milioni di siti su cui gira Jenkins e con Metasploit si fa presto ad avere accesso alla script console per eseguire del codice remoto.

Una volta nella script console si possono raggiungere le chiavi private di autenticazione o agire sul codice per eseguire comandi o leggere le dir config per estrarre le password etc.

AWS config files

Una delle problematiche più evidenti della AWS CLI, è la presenza di credenziali in chiaro in file di testo semplicemente “nascosti”. Un OSINT sulle principali fonti come pastebin o github, permette di accedere a risorse su AWS con relativa semplicità.

Client provisioning tools

In questa sezione abbiamo visto esempi legati a Puppet, Chef, Vagrant e i kickstart files di RedHat.

Per quel che riguarda Puppet, uno degli aspetti da mettere in sicurezza sono gli YAML files che, in particolare per HIERA, possono essere criptati con HIERA-EYAML.

In Chef invece è consigliato crittografare i databags items per proteggere ad esempio i contenuti dei database.

Per Vagrant invece abbiamo visto che, le configurazioni di default, hanno chiavi note (senza richiesta di cambiarle durante il setup o allo startup), o sono presenti password comuni come “vagrant”, o accessi senza richiesta di password in caso di sudo. Uno scan in rete, mostra subito che moltissime installazioni hanno ancora la chiave di default attiva ed utilizzabile. Un’altra importante falla nella sicurezza è la possibilità di inserire codice malevolo nella share esposta per lo sviluppo: tale codice resterà anche al di fuori e indipendentemente dalla VM che può essere distrutta ma lascia il codice iniettato.

Anche il kickstart file del setup di centos/redhat etc può contenere la password di root in chiaro oppure hashata: mi raccomando a scegliere la versione criptata.

Share Us

PinIt

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.