Kubernetes用のArgo継続的デプロイ(CD)ツールのユーザーは、攻撃者がパスワードやAPIキーなどの機密情報を抽出する可能性のあるゼロデイ脆弱性が見つかった後、更新をプッシュするように求められています。
としてタグ付けされた欠陥 CVE-2022-24348 (CVSSスコア:7.7)、すべてのバージョンに影響し、バージョン2.3.0、2.2.4、および2.1.9で対処されています。 クラウドセキュリティ会社のApiiroは、30年2022月XNUMX日にバグを発見して報告したことで評価されています。
継続的デプロイは、継続的デリバリーとも呼ばれ、テストされて共有リポジトリにマージされた後、すべてのコード変更をテスト環境や本番環境に自動的にデプロイするプロセスを指します。
ArgoCDは公式に使用されています 191団体、Alibaba Group、BMW Group、Deloitte、Gojek、IBM、Intuit、LexisNexis、Red Hat、Skyscanner、Swisscom、Ticketmasterを含みます。
パストラバーサルの脆弱性により、「悪意のあるアクターがKubernetesをロードできるようになります ヘルムチャートYAMLファイル 脆弱性に対処し、アプリケーションエコシステムからユーザーの範囲外の他のアプリケーションのデータに「ホップ」します」と、Apiiroのセキュリティ調査担当副社長であるMosheZioni氏は述べています。 と.
悪意のある攻撃者は、悪意のあるKubernetes Helm Chart YAMLファイル(アプリケーションのデプロイに必要なKubernetesリソースのコレクションを指定するパッケージマネージャー)をターゲットシステムにロードして、他のアプリから機密情報を取得できるようにすることで、この脆弱性を悪用できます。
欠陥の悪用に成功すると、特権の昇格や機密情報の開示から、横方向の移動攻撃や他のアプリケーションからのトークンの盗用に至るまで、深刻な結果を招く可能性があります。
ソフトウェアサプライチェーンは、攻撃が悪用された後の主要なセキュリティ脅威として浮上しています SolarWinds, カセヤ, ログ4j 近年では。 2021年XNUMX月、Intezer 開示 攻撃者は、誤って設定されたArgo Workflowsインスタンスを利用して、Kubernetes(K8s)クラスターにクリプトマイナーをドロップしています。