Gebruikers van de Argo Continuous Deployment (CD)-tool voor Kubernetes worden aangespoord om updates door te voeren nadat een zero-day-kwetsbaarheid is gevonden waardoor een aanvaller gevoelige informatie zoals wachtwoorden en API-sleutels kan extraheren.
De fout, getagd als CVE-2022-24348 (CVSS-score: 7,7), is van invloed op alle versies en is aangepakt in versies 2.3.0, 2.2.4 en 2.1.9. Cloudbeveiligingsbedrijf Apiiro is gecrediteerd met het ontdekken en rapporteren van de bug op 30 januari 2022s.
Continue implementatie, ook wel continue levering genoemd, verwijst naar een proces dat automatisch alle codewijzigingen in de test- en/of productieomgeving implementeert nadat ze zijn getest en samengevoegd tot een gedeelde repository.
Argo CD wordt officieel gebruikt door 191 organisatieswaaronder Alibaba Group, BMW Group, Deloitte, Gojek, IBM, Intuit, LexisNexis, Red Hat, Skyscanner, Swisscom en Ticketmaster.
De path-traversal-kwetsbaarheid “laat kwaadwillende actoren een Kubernetes laden Helm Chart YAML-bestand naar de kwetsbaarheid en ‘spring’ van hun applicatie-ecosysteem naar data van andere applicaties buiten het bereik van de gebruiker”, Moshe Zioni, Apiiro’s VP van beveiligingsonderzoek, zei.
Kwaadwillenden kunnen misbruik maken van het beveiligingslek door een kwaadaardig Kubernetes Helm Chart YAML-bestand te laden, een pakketbeheerder die een verzameling Kubernetes-bronnen specificeert die nodig zijn om een applicatie te implementeren, op het doelsysteem, waardoor vertrouwelijke informatie van andere apps kan worden opgehaald.
Succesvol misbruik van het defect kan ernstige gevolgen hebben, variërend van escalatie van bevoegdheden en het vrijgeven van gevoelige informatie tot aanvallen op zijwaartse bewegingen en het exfiltreren van tokens uit andere toepassingen.
De toeleveringsketen van software is naar voren gekomen als een grote bedreiging voor de veiligheid in de nasleep van aanvallen die de afgelopen jaren gebruikmaken van SolarWinds, Kaseya en Log4j. In juli 2021, Intezer onthuld dat aanvallers misbruik maken van verkeerd geconfigureerde Argo Workflows-instanties om cryptominers op Kubernetes (K8s)-clusters te plaatsen.
