Уязвимость, обозначенная как CVE-2022-24348 (рейтинг CVSS: 7.7), затрагивает все версии и была устранена в версиях 2.3.0, 2.2.4 и 2.1.9. Компания Apiiro, занимающаяся вопросами безопасности облачных вычислений, приписывает себе обнаружение ошибки и сообщение о ней разработчикам 30 января 2022 года.
«Continuous deployment» - это процесс разработки ПО, который позволяет автоматически применять все изменения кода в тестовой и/или производственной среде после их тестирования и слияния в общий репозиторий.
Argo CD официально используется 191 организацией, включая Alibaba Group, BMW Group, Deloitte, Gojek, IBM, Intuit, LexisNexis, Red Hat, Skyscanner, Swisscom и Ticketmaster.
Уязвимость path-traversal «позволяет злоумышленникам загрузить Helm Chart YAML-файл из Kubernetes в эксплоит и «перепрыгнуть» из экосистемы своего приложения в данные других приложений, не входящих в сферу действия пользователя» - сообщил Моше Зиони, вице-президент Apiiro по исследованиям безопасности.
Злоумышленники могут использовать уязвимость, загрузив вредоносный YAML-файл - менеджер пакетов, который определяет набор ресурсов Kubernetes, необходимых для развертывания приложения - на целевую систему, что позволит получать конфиденциальную информацию из других приложений.
Успешная эксплуатация дефекта может иметь серьезные последствия - от повышения привилегий и раскрытия конфиденциальной информации до латерального перемещения по сети жертвы и извлечения токенов из других приложений.
Цепочка поставок программного обеспечения стала в последние годы одной из основных угроз безопасности после атак SolarWinds, Kaseya, и Log4j. Также в июле 2021 года компания Intezer раскрыла информацию о том, что злоумышленники используют преимущества неправильно настроенных экземпляров Argo Workflows для сброса криптомайнеров на кластеры Kubernetes.
Источник: https://thehackernews.com
