Kritikus, javítás nélküli sebezhetőség az Argo CD-ben

A francia Synacktiv biztonsági cég egy olyan súlyos, jelenleg is javítás nélküli hibát tárt fel az Argo CD repo-server komponensében, amely lehetővé teheti egy hitelesítés nélküli támadó számára tetszőleges kód futtatását, és végső soron a teljes Kubernetes klaszter átvételét.

Az Argo CD egy elterjedt GitOps eszköz, amelyet szoftverek Kubernetes klaszterekbe történő telepítésének automatizálására használnak. A hiba a repo-server nevű komponensben található, amely a Git repókból olvassa be az adatokat, és ezekből építi fel azokat a Kubernetes manifest fájlokat, amelyek meghatározzák, mi kerül majd telepítésre a klaszterbe. A komponens belső gRPC szolgáltatása nem rendelkezik hitelesítéssel. Aki hozzáfér, tetszőleges parancsot futtathat rajta.

A támadást a kutatók az Argo CD v2.13.3 verzió ellen mutatták be, de nincs olyan javított kiadás, amelyre a probléma ne vonatkozna.

Az Argo CD ugyan biztosít Kubernetes network policy-kat, amelyek elválasztják a repo-servert mindentől, kivéve a saját komponenseit, azonban a Synacktiv rájött, hogy a Helm chart ezeket alapértelmezetten kikapcsolva hagyja (networkPolicy.create=false beállítással).

A kód futtatása a repo-serveren azonban csak a kezdet. A kutatók ezt a hozzáférést felhasználva kiolvasták egy környezeti változóból a klaszter Redis jelszavát, csatlakoztak az Argo CD Redis gyorsítótárához, és manipulálták a tárolt telepítési adatokat. A következő automatikus szinkronizáláskor az Argo CD már a támadó által megadott, rosszindulatú workloadot telepítette.

A Synacktiv 2025 januárjában jelentette a hibát az Argo CD fejlesztőinek. Körülbelül tizennyolc hónappal később a probléma még mindig javítás nélkül maradt, ezért a cég nyilvánosságra hozta a részleteket, hogy figyelmeztesse a felhasználókat. A kutatók kifejlesztettek egy eszközt, az argo-cdown-t, amely automatizálja a teljes támadási láncot, de ezt jelenleg visszatartják, hogy időt hagyjanak a védelmi intézkedések megtételére. Később a GitHubon publikálni tervezik, hogy az adminisztrátorok tesztelhessék saját telepítéseiket.

Mivel jelenleg nincs javított verzió, az egyetlen valódi védelem a hálózati elszigetelés. Amíg nem érkezik javítás, a klaszter belső hálózatát potenciálisan kompromittáltnak érdemes tekinteni.

(thehackernews.com)