Tutte le versioni di Argo CD, uno strumento di sviluppo open source per Kubernetes, sono vulnerabili a un bug di path traversal che consente agli aggressori di accedere a dati sensibili e rubare informazioni come password e chiavi API.
Argo CD è una popolare piattaforma open source di distribuzione continua per sviluppatori che utilizzano Kubernetes, utilizzata da migliaia di organizzazioni.
La vulnerabilità, tracciata come CVE-2022-24348, scoperta e segnalata da Moshe Zioni del team di ricerca sulla sicurezza di Apiiro, consente agli attori malintenzionati di caricare un file YAML di Kubernetes Helm Chart sulla vulnerabilità e di “saltare” dal proprio ecosistema applicativo ai dati di altre applicazioni al di fuori dell’ambito dell’utente.
Gli aggressori possono leggere ed esfiltrare segreti, token e altre informazioni sensibili che risiedono su altre applicazioni.
L’impatto può diventare critico soprattutto in ambienti che utilizzano file di valore crittografati (ad esempio utilizzando plug-in con git-crypt o SOPS) e include l’escalation dei privilegi, la divulgazione di informazioni sensibili, gli attacchi di spostamento laterale e altro ancora.
Nonostante Argo CD fosse consapevole di questo punto debole nel 2019 e implementasse un meccanismo anti-path-traversal, un bug nel controllo consente di sfruttare questa vulnerabilità.
Il team di ricerca di Apiiro ha manifestato la propria gratitudine alla rapida risposta agli incidenti e alla gestione professionale del caso da parte di Argo CD, per aver trattato con rispetto la loro vasta base di utenti e per aver compreso le implicazioni degli scenari di attacco.
Sequenza temporale:
30 gennaio 2022: vulnerabilità segnalata al fornitore
30-gennaio-2022: il fornitore ha verificato e riconosciuto il bug
31-gennaio-2022: triage reciproco continuo per comprendere e discutere la portata e l’impatto della vulnerabilità
01-febbraio-2022: il fornitore ha segnalato il lavoro progressivo su patch e fix e la pianificazione del rilascio
3 febbraio 2022: rilascio sincrono di avvisi, patch e blog.
https://github.com/argoproj/argo-cd/security/advisories/GHSA-63qx-x74g-jcr7