进击云原生

V1

2022/02/07阅读:111主题:默认主题

CVE 2022-24348 – Argo CD 高危漏洞及其对 Kubernetes 的影响

CVE 2022-24348 – Argo CD 高危漏洞及其对 Kubernetes 的影响

来自 Apiiro 的研究员 Moshe Zioni 在流行的开源 CD 平台 Argo CD 中发现了一个主要的软件供应链关键漏洞CVE-2022-24348,利用它,攻击者可以从其他应用程序获取敏感信息,例如凭据、Secrets、API Key。这反过来又会导致特权升级、横向移动和信息泄露。

由于此漏洞的严重性很高,我们向Kubescape添加了一个特殊控件C-0081,用于识别您的部署中是否存在易受攻击的 Argo CD 版本。

使用以下命令运行ARMOBest 框架

Kubescape scan framework ARMOBest --submit

这种漏洞说明了持续定期扫描所有已部署软件镜像的重要性,而不是 CI/CD 部署前扫描。Kubescape 旨在从 Kubernetes API 枚举所有已部署的镜像并扫描它们,以提供按详细时间顺序排序的结果。

可用的 Argo CD 补丁版本有:

  • v2.3.0
  • v2.2.4
  • v2.1.9

关于 Argo CD

Argo CD是 Kubernetes 的声明式持续交付工具。Argo CD 遵循 GitOps 模式,使用 Git 存储库作为定义所需应用程序状态的真实来源。Kubernetes 清单可以通过多种方式指定:

Argo CD 在指定的目标环境中自动部署所需的应用程序状态。应用程序部署可以跟踪分支、tags 的更新,或在 Git 提交时固定到特定版本的清单。

漏洞

根据 Apiiro 安全研究副总裁 Moshe Zioni 的说法,该漏洞位于 repository.go 文件中,攻击者绕过目录遍历检查并可以访问 Argo CD 工具中的其他工件。这些工件可能包含 API 密钥、机密和令牌。

请参阅下面 Apiiro 出版物中介绍的攻击序列:

您可以在此处此处阅读有关实际易受攻击代码的更多详细信息。

该怎么办?

如果您易受攻击,请扫描

  • 确保您没有使用 Kubescape 的新控件C-0081运行易受攻击的版本。此控件是 ARMOBest 框架的一部分。
    您可以通过以下方式运行它:
  1. 使用整个框架进行扫描:
Kubescape scan framework armobest –submit
  1. 仅使用特定控件进行扫描:
Kubescape scan control C-0081
  • 您可以使用Kubescape SaaS扫描您的集群和 ArgoCD 命名空间,以查看您是否有此问题。
  • 确保保护您的 secrets 并将其存储在 Kubernetes secrets 或任何 KMS 解决方案中。 您可以使用 Kubescape control 12(ARMOBest 框架的一部分)对其进行检查。请注意,这是一个可自定义的控件,可以在 settings->posture->controls-> C-0012(配置文件中的应用程序凭据)下进行设置。
  • 定期运行 Kubescape 图像漏洞扫描程序并查看结果,这将为您提供集群中所有危险漏洞的更全面的了解。

修复

根据 Argo CD官方文档,针对该漏洞的补丁已经发布在以下 Argo CD 版本中:

  • v2.3.0
  • v2.2.4
  • v2.1.9
Kubescape C-0081
Kubescape C-0081

翻译

CVE 2022-24348 – Argo CD 高危漏洞及其对 Kubernetes 的影响

关注

本文首发于微信公众号【我的小碗汤】,扫码关注,了解更多咨询,更有免费资源供您学习

扫码关注,加群学习
扫码关注,加群学习

分类:

后端

标签:

后端

作者介绍

进击云原生
V1

公众号:进击云原生