Argo CD本周发布了一个针对零日漏洞的补丁,使攻击者能够访问密码和API密钥等敏感信息。
这个漏洞是由Apiiro的安全研究团队发现的,并在发布补丁的同时发布了一篇博文进行了解释。
阿尔戈CD是一个流行的开源持续交付平台,和弱点——标记cve - 2022 - 24348 CVSS分数为7.7——“允许恶意演员Kubernetes舵图YAML文件装载到从他们的应用程序生态系统脆弱性和“跳”之外的其他应用程序的数据用户的范围。”
根据Apiiro的说法,参与者可以读取和过滤驻留在其他应用程序中的数据。
在GitHub上,该公司表示,所有版本的Argo CD都容易受到路径遍历漏洞的影响,并指出,“可以制作特殊的Helm chart包,其中包含的值文件实际上是符号链接,指向存储库根目录外的任意文件。”
“如果攻击者的权限创建或更新应用程序知道或可以猜到包含有效的YAML文件的完整路径,他们可以创建一个恶意执掌图表使用YAML文件作为值,从而获得对数据的访问,他们本来没有访问,“阿尔戈CD解释道。
在使用包含敏感或机密数据的加密值文件(例如使用git-crypt或sop插件)的环境中,这种影响尤其严重,并在呈现Helm图表之前将这些秘密解密到磁盘。此外,因为任何来自helm模板的错误消息都被传递回用户,而这些错误消息非常冗长,所以可以在存储库服务器的文件系统上枚举文件。”
这个问题没有解决办法,Argo CD敦促用户更新他们的安装。Argo CD已经发布了v2.3.0, v2.2.4和v2.1.9的补丁。
阿皮罗解释说:“上月30日向Argo CD通报了这一问题,在过去的一周内,双方一直在为解决这一问题而努力。”
Vulcan Cyber首席执行官Yaniv Bar-Dayan表示,他们普遍认为,更高级的持续性威胁利用了软件供应链软件中的零日漏洞,以及已知的、无法缓解的漏洞,如Argo CD。
巴尔-达扬补充说,多年来,已知的、完全的漏洞比其他任何因素都更能加剧网络风险。
但黑客总是在寻找阻力最小、最有效的途径来达到他们的目标。最近出现的一系列高级持续威胁,利用供应链零日漏洞daisy链接已知的、完全的漏洞,表明黑客正变得越来越老练和机会主义。显然,SolarWinds的黑客攻击是最臭名昭著的,它利用软件供应链作为主要攻击载体,”Bar-Dayan解释说。
“在发生漏洞的情况下,把所有的责任都推到软件供应链供应商身上是不公平的,因为不良行为者经常使用已知的、未解决的漏洞,而这些漏洞早在软件供应链被黑客攻击成为现实之前,it安全团队就应该减轻这些漏洞。
“在网络债务让我们陷入困境之前,作为一个行业,我们需要做得更好。Apiiro和Argo已经采取了正确的步骤,帮助Argo客户减少与CVE-2022-24348相关的风险,但现在IT安全团队必须合作,保护他们的开发环境和软件供应链不受威胁参与者的威胁。”
