Argo CD lanzó un parche esta semana para una vulnerabilidad de día cero que permite a los atacantes acceder a información confidencial como contraseñas y claves API.
La vulnerabilidad fue descubierta por el equipo de investigación de seguridad de Apiiro y explicada en una publicación de blog publicada junto con el parche.
Argo CD es una popular plataforma de entrega continua de código abierto, y la vulnerabilidad, etiquetada como CVE-2022-24348 con una puntuación CVSS de 7,7, «permite a los actores malintencionados cargar un archivo YAML de Kubernetes Helm Chart en la vulnerabilidad y ‘saltar’ desde su ecosistema de aplicaciones hasta los datos de otras aplicaciones fuera del alcance del usuario».
Luego, los actores pueden leer y filtrar los datos que residen en otras aplicaciones, según Apiiro.
En GitHub, la compañía dijo que todas las versiones de Argo CD son vulnerables al error de cruce de ruta y señaló que es «posible crear paquetes especiales de gráficos de Helm que contengan archivos de valor que en realidad son enlaces simbólicos, apuntando a archivos arbitrarios fuera del directorio raíz del repositorio. «
«Si un atacante con permisos para crear o actualizar aplicaciones sabe o puede adivinar la ruta completa a un archivo que contiene YAML válido, puede crear un gráfico de Helm malicioso para consumir ese YAML como archivos de valores, y así obtener acceso a datos que de otro modo no tendrían». acceso a», explicó Argo CD.
«El impacto puede volverse especialmente crítico en entornos que utilizan archivos de valor cifrados (p. ej., mediante complementos con git-crypt o SOPS) que contienen datos sensibles o confidenciales, y descifran estos secretos en el disco antes de representar el gráfico de Helm. Además, debido a cualquier error El mensaje de la plantilla de helm se devuelve al usuario, y estos mensajes de error son bastante detallados, es posible la enumeración de archivos en el sistema de archivos del servidor del repositorio».
No hay soluciones para el problema y Argo CD instó a sus usuarios a actualizar sus instalaciones. Se han lanzado parches para Argo CD v2.3.0, v2.2.4 y v2.1.9.
Apiiro explicó que notificó a Argo CD sobre el problema el 30 de enero y las dos partes trabajaron para resolverlo durante la última semana.
El CEO de Vulcan Cyber, Yaniv Bar-Dayan, dijo que generalmente están viendo amenazas persistentes más avanzadas que aprovechan las vulnerabilidades de día cero y conocidas y no mitigadas en el software de la cadena de suministro de software, como Argo CD.
Durante años, las vulnerabilidades conocidas y no mitigadas han contribuido más que cualquier otro factor al aumento del riesgo cibernético, agregó Bar-Dayan.
«Pero los piratas informáticos siempre están buscando el camino más efectivo y de menor resistencia para lograr sus objetivos. Una reciente oleada de amenazas persistentes avanzadas que aprovechan una vulnerabilidad de día cero de la cadena de suministro encadenada con vulnerabilidades conocidas y no mitigadas, demuestra cómo los piratas informáticos se están volviendo cada vez más sofisticado y oportunista. Obviamente, el hackeo de SolarWinds fue la APT más notoria que usó la cadena de suministro de software como el principal vector de ataque», explicó Bar-Dayan.
«En el caso de una infracción, es injusto echar toda la culpa al proveedor de la cadena de suministro de software considerando cómo los malos actores a menudo usan vulnerabilidades conocidas y no abordadas que deberían haber sido mitigadas por los equipos de seguridad de TI mucho antes de que el hackeo de la cadena de suministro de software se convirtiera en un problema». la realidad.
«Necesitamos mejorar como industria antes de que nuestra deuda cibernética nos hunda. Apiiro y Argo han tomado las medidas correctas para ayudar a los clientes de Argo a reducir el riesgo asociado con CVE-2022-24348, pero ahora los equipos de seguridad de TI deben colaborar y hacer el trabajo para proteger sus entornos de desarrollo y las cadenas de suministro de software de los actores de amenazas».