Tutte le versioni di Argo CD, uno strumento di sviluppo open source per Kubernetes, sono vulnerabili a un bug di path traversal che consente agli aggressori di accedere a dati sensibili e rubare informazioni come password e chiavi API.

Argo CD è una popolare piattaforma open source di distribuzione continua per sviluppatori che utilizzano Kubernetes, utilizzata da migliaia di organizzazioni.

La vulnerabilità, tracciata come CVE-2022-24348, scoperta e segnalata da Moshe Zioni del team di ricerca sulla sicurezza di Apiiro, consente agli attori malintenzionati di caricare un file YAML di Kubernetes Helm Chart sulla vulnerabilità e di “saltare” dal proprio ecosistema applicativo ai dati di altre applicazioni al di fuori dell’ambito dell’utente.

Gli aggressori possono leggere ed esfiltrare segreti, token e altre informazioni sensibili che risiedono su altre applicazioni.

L’impatto può diventare critico soprattutto in ambienti che utilizzano file di valore crittografati (ad esempio utilizzando plug-in con git-crypt o SOPS) e include l’escalation dei privilegi, la divulgazione di informazioni sensibili, gli attacchi di spostamento laterale e altro ancora.

Nonostante Argo CD fosse consapevole di questo punto debole nel 2019 e implementasse un meccanismo anti-path-traversal, un bug nel controllo consente di sfruttare questa vulnerabilità.

Il team di ricerca di Apiiro ha manifestato la propria gratitudine alla rapida risposta agli incidenti e alla gestione professionale del caso da parte di Argo CD, per aver trattato con rispetto la loro vasta base di utenti e per aver compreso le implicazioni degli scenari di attacco. 

Sequenza temporale:

30 gennaio 2022: vulnerabilità segnalata al fornitore

30-gennaio-2022: il fornitore ha verificato e riconosciuto il bug

31-gennaio-2022: triage reciproco continuo per comprendere e discutere la portata e l’impatto della vulnerabilità

01-febbraio-2022: il fornitore ha segnalato il lavoro progressivo su patch e fix e la pianificazione del rilascio

3 febbraio 2022: rilascio sincrono di avvisi, patch e blog.

 

https://apiiro.com/blog/malicious-kubernetes-helm-charts-can-be-used-to-steal-sensitive-information-from-argo-cd-deployments/

https://github.com/argoproj/argo-cd/security/advisories/GHSA-63qx-x74g-jcr7

Twitter
Visit Us
LinkedIn
Share
YOUTUBE