Este documento presenta una charla sobre hacking en entornos DevOps. Se describe el flujo típico de DevOps que incluye control de versiones, integración continua y despliegue continuo. Sin embargo, en la práctica estos entornos suelen ser menos controlados y más vulnerables. Se presenta una suite de herramientas llamada Flawlynx para detectar vulnerabilidades en los flujos DevOps. Finalmente, se muestran los resultados de una investigación que encontró Jenkins públicos vulnerables y puertos atípicos expuestos.

1. @jalcaldea & @dani_zerolynx
DevSecops
into the unknown

2. Net user
Daniel González
@dani_zerolynx
• Co-fundador de ZEROLYNX
• Socio director de ciberinteligencia de OSANE
Consulting
• Profesor oficial del certificado CSX y
coordinador de las formaciones de
ciberseguridad de ISACA Madrid
Jesús Alcalde
@jalcaldea
• Director of R&D at Zerolynx
• Responsable DevSecOps en OSANE
Consulrting

3. Esto es una ponencia sobre hacking en
entornos de DevOps, no una charla sobre
DevOps.
Muchos de los conceptos y la problemática
real, la daremos por asumida por falta de
tiempo.
Esta investigación será liberada y
publicada para que podáis ayudarnos a
continuarla.
IMPORTANTE

4. Friendly reminder

5. SCAN ME

6. Friendly reminder
• Los entornos de desarrollo,
autogestionados y sin
supervisión, son entornos
menos controlados y más
vulnerables.
• JENKINS tiene problemas…
pero no solo de JENKINS viven
los desarrolladores actuales,
y los demás... No están mucho
mejor.

7. Automatización

8. Flujo típico de DevOps
Controlador de versión
Push commit
Servidor de integración continua
Administrador de tareas
Update Tickets
Trigger Build
Sistema de mensajería en tiempo
real
Post Message

9. Flujo típico de DevOps

10. Personas Código Integración Despliegue Sistemas
Nuestra visión
Mensajería Control de versiones Integración continua Despliegue continuo
ConfiguraciónTeam Management (TM)
Secretos

11. La realidad en entornos DevOps, es algo así…

12. LAS
HERRAMIENTAS

14. Suite de herramientas
Tres tristes tigres comieron
trigo en un trigal
Flawlynx - A flawless tool
to detect flaws in DevOps
flows

15. Suite de herramientas
Flawlynx - A flawless tool
to detect flaws in DevOps
flows

16. Specs de las herramientas
▪ Filosofía DevOps: Un conjunto de
herramientas para cada uno de
los módulos presentados.
▪ No hay nada actualmente así en
el mercado, ni de manera libre.
Mantengámosla entre todos.
▪ Licencia GPL v3.

17. Control de
Versiones

18. Módulo GIT
Mínimos sobre GIT:
▪ Base de datos distribuida en carpeta .git (oculta)
▪ Se generan objetos con el contenido
▪ Pueden ser: REFs, COMMITs o BLOBs

19. Módulo GIT
Mínimos sobre GIT:
▪ Base de datos distribuida en carpeta .git (oculta)
▪ Se generan objetos con el contenido
▪ Pueden ser: REFs, COMMITs o BLOBs

20. Módulo GIT
Personas

21. Módulo GIT
Personas

22. Módulo GIT
▪ Referencias (Tags y Branches)
▪ Pequeño ejemplo: git checkout <sha1>
Código
IMPORTANTE
Si tienes acceso a un repositorio NO SOLO TIENES
EL CÓDIGO, tienes TODO SU CICLO DE VIDA

23. Código
Módulo GIT
▪ Secretos
SCAN ME
GUÍA PARA ELIMINAR SECRETOS DE
MANERA SEGURA

24. Extraer información - Autores
Comando:
Resultado:
Código
Módulo GIT

25. flawlynx-vc | Version
Control
Demo time

26. Integración
continua

27. Módulo Jenkins
Workers
Jobs
Builds
Secretos
Usuarios
Credenciales
Configuración
…
Integración

28. Módulo Jenkins
Builds y Jobs Plugins Usuarios
Código fuente
Sistemas y
configuración
Integración

29. Metodología
Reconocimiento
Revisión de la
configuración
Exploits y
vulnerabilidades
Extracción de
información
How to Fix
Integración

30. flawlynx-ci | Continuous
Integration
Demo time

31. Conclusiones

32. Conclusiones
▪ Actualmente en los entornos de DevOps
hay un problema y no podemos seguir
ignorándolo.
▪ Usad la herramienta y ayudadnos a
mantenedla.
▪ Mientras más fácil es comprometer un
sistema, más posibilidades hay de que
comiencen a corregirlo.

33. BONUS TRACK

34. Investigación

35. Investigación - Disclaimer
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2100

36. Información del puerto
▪ Puerto UDP que responde a cualquier cosa
▪ DDoS con amplificación 1:240 aprox
▪ ¡¡ Devuelve información interna !!

37. Let it (scan in) go
> 17.000 IPs

38. Resultados ±9000 Jenkins
públicos
30%
23%
40%

39. Resultados
Puertos HTTP por
defecto:
8080, 443, 80, 8081

40. Resultados
¡Puertos atípicos!
9090, 8090, 8888,
8088, 8082, 9999, etc

41. Resultados 20% con versiones de Jenkins
Core con vulnerabilidades
críticas

42. © 2020 Zerolynx S.L. Sociedadespañola de responsabilidadlimitada.Todos los derechos reservados.Zerolynx y sus logotipos son marcasregistradaspor Zerolynx S.L. Diseño de iconos creadopor Freepik para www.flaticon.com, licenciado bajo CC 3.0 BY. La información contenida es de carácterinformativo. Para solicitar una cotización de un servicio debe contactarcon el equipocomercial de Zerolynx.
dgonzalez@zerolynx.com
@dani_zerolynx
¡ Muchas gracias !
jalcalde@zerolynx.com
@jalcaldea