Kritikus, javítás nélküli sebezhetőség az Argo CD-ben

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

A francia Synacktiv biztonsági cég egy olyan súlyos, jelenleg is javítás nélküli hibát tárt fel az Argo CD repo-server komponensében, amely lehetővé teheti egy hitelesítés nélküli támadó számára tetszőleges kód futtatását, és végső soron a teljes Kubernetes klaszter átvételét.

Az Argo CD egy elterjedt GitOps eszköz, amelyet szoftverek Kubernetes klaszterekbe történő telepítésének automatizálására használnak. A hiba a repo-server nevű komponensben található, amely a Git repókból olvassa be az adatokat, és ezekből építi fel azokat a Kubernetes manifest fájlokat, amelyek meghatározzák, mi kerül majd telepítésre a klaszterbe. A komponens belső gRPC szolgáltatása nem rendelkezik hitelesítéssel. Aki hozzáfér, tetszőleges parancsot futtathat rajta.

A támadást a kutatók az Argo CD v2.13.3 verzió ellen mutatták be, de nincs olyan javított kiadás, amelyre a probléma ne vonatkozna.

Az Argo CD ugyan biztosít Kubernetes network policy-kat, amelyek elválasztják a repo-servert mindentől, kivéve a saját komponenseit, azonban a Synacktiv rájött, hogy a Helm chart ezeket alapértelmezetten kikapcsolva hagyja (networkPolicy.create=false beállítással).

A kód futtatása a repo-serveren azonban csak a kezdet. A kutatók ezt a hozzáférést felhasználva kiolvasták egy környezeti változóból a klaszter Redis jelszavát, csatlakoztak az Argo CD Redis gyorsítótárához, és manipulálták a tárolt telepítési adatokat. A következő automatikus szinkronizáláskor az Argo CD már a támadó által megadott, rosszindulatú workloadot telepítette.

A Synacktiv 2025 januárjában jelentette a hibát az Argo CD fejlesztőinek. Körülbelül tizennyolc hónappal később a probléma még mindig javítás nélkül maradt, ezért a cég nyilvánosságra hozta a részleteket, hogy figyelmeztesse a felhasználókat. A kutatók kifejlesztettek egy eszközt, az argo-cdown-t, amely automatizálja a teljes támadási láncot, de ezt jelenleg visszatartják, hogy időt hagyjanak a védelmi intézkedések megtételére. Később a GitHubon publikálni tervezik, hogy az adminisztrátorok tesztelhessék saját telepítéseiket.

Mivel jelenleg nincs javított verzió, az egyetlen valódi védelem a hálózati elszigetelés. Amíg nem érkezik javítás, a klaszter belső hálózatát potenciálisan kompromittáltnak érdemes tekinteni.

(forrás)