Уязвимость Argo CD приводит к утечке конфиденциальной информации из приложений Kubernetes

Women in Games открывают азиатское отделение

Уязвимость в Argo CD, используемая тысячами организаций для развертывания приложений в Kubernetes, может быть использована в атаках для раскрытия конфиденциальной информации, такой как пароли и ключи API.

Отслеживаемая как CVE-2022-24348 уязвимость обхода пути была обнаружена исследовательской группой в Apiiro и может привести к повышению привилегий, раскрытию информации и атакам бокового перемещения.

Злоумышленники могут воспользоваться этой уязвимостью, загрузив вредоносный YAML-файл Kubernetes Helm Chart в целевую систему, что позволит извлекать конфиденциальную информацию из других приложений.

На приведенной ниже диаграмме показано, как будет работать поток атаки с использованием CVE-2022-24348.

Необходимым условием для успешной атаки является наличие разрешения на создание или обновление приложений и знание или угадывание полного пути к файлу, содержащему действительный YAML.

Выполнение этих требований открывает возможность для создания вредоносной диаграммы Helm для использования YAML в качестве файлов значений, в конечном итоге получая доступ к обычно недоступным данным.

Воздействие и исправление

Argo CD используется тысячами организаций по всему миру, поэтому обнаружение уязвимости имеет большое значение и требует немедленного внимания со стороны разработчиков и администраторов.

Разработчики Argo CD предусмотрели возможность использования злоумышленником файлов значений Helm за пределами папки диаграммы и попытались решить проблему с помощью нового механизма проверки, представленного в версии 1.3.0, выпущенной в 2019 году.

Однако, как теперь обнаружил Apiiro, есть способ обойти проверки против обхода пути, если перечисленные файлы значений выглядят как URI.

Специальный синтаксический анализатор обрабатывает локальный путь к файлу как URI, предполагает, что он получил HTTP-запрос, и принимает его без дополнительных проверок работоспособности.

«Поскольку репосервер использует монолитную и детерминированную файловую структуру, все остальные внешние приложения имеют определенный и предсказуемый формат и путь», — объясняет Апииро.

«Злоумышленник может собрать объединенный прямой вызов к указанному файлу values.yaml, который используется многими приложениями в качестве вассала для секретных и конфиденциальных значений».

Последствием этого является раскрытие содержимого файлов в том же репозитории и злоупотребление содержимым для выполнения дополнительных вредоносных действий.

Команда Apiiro сообщила о проблеме поставщику 30 января 2022 г. и получила почти немедленный ответ.

Компания Argo CD сегодня выпустила обновление безопасности, содержащее исправление для CVE-2022-24348, версии 2.3.0-rc4 . Всем рекомендуется перейти на него, так как обходных путей нет.

Для получения дополнительных сведений со стороны вендора ознакомьтесь с этим советом по безопасности, опубликованным командой Argo CD на GitHub.

Последнее обновление 04.02.2022