Terraform Plan “RCE”

Небольшая статья о реализации "Remote Code Execution" (RCE) злоумышленником при работе с terraform plan. Это особенно актуально, если вы проверяет таким образом PR перед merge в прод бранч.

Стало любопытно то, что terraform plan на первый взгляд кажется довольно безобидным. Сама документация сообщает о том, что "команду можно использовать для проверки, соответствуют ли предлагаемые изменения ожидаемым, прежде чем применять изменения".

В статье есть раздел по митигации риска.

#terraform #attack #dev #ops

Security Wine (бывший - DevSecOps Wine)

Terraform Plan “RCE”

Небольшая статья о реализации "Remote Code Execution" (RCE) злоумышленником при работе с terraform plan. Это особенно актуально, если вы проверяет таким образом PR перед merge в прод бранч.

Стало любопытно то, что terraform plan на первый взгляд кажется довольно безобидным. Сама документация сообщает о том, что "команду можно использовать для проверки, соответствуют ли предлагаемые изменения ожидаемым, прежде чем применять изменения".

В статье есть раздел по митигации риска.

#terraform #attack #dev #ops

alxk's blog

Terraform Plan RCE

Running a Terraform plan on unstrusted code can lead to RCE and credential exfiltration.

hottg.com/sec_devops/477

6.5K viewsDenis Yakimov, edited  May 19, 2021 at 06:53