文章目录
- 关于 Argo CD
- 漏洞
- 该怎么办?
- 修复
- 翻译
- 关注
来自 Apiiro 的研究员 Moshe Zioni 在流行的开源 CD 平台 Argo CD 中
发现了一个主要的软件供应链关键漏洞
CVE-2022-24348,利用它,攻击者可以从其他应用程序获取敏感信息,例如凭据、Secrets、API Key。这反过来又会导致特权升级、横向移动和信息泄露。
由于此漏洞的严重性很高,我们向Kubescape添加了一个特殊控件C-0081,用于识别您的部署中是否存在易受攻击的 Argo CD 版本。
使用以下命令运行ARMOBest 框架
这种漏洞说明了持续定期扫描所有已部署软件镜像的重要性,而不是 CI/CD 部署前扫描。Kubescape 旨在从 Kubernetes API 枚举所有已部署的镜像并扫描它们,以提供按详细时间顺序排序的结果。
可用的 Argo CD 补丁版本有:
- v2.3.0
- v2.2.4
- v2.1.9
关于 Argo CD
Argo CD是 Kubernetes 的声明式持续交付工具。Argo CD 遵循 GitOps 模式,使用 Git 存储库作为定义所需应用程序状态的真实来源。Kubernetes 清单可以通过多种方式指定:
- kustomize 应用程序
- helm charts
- ksonnet 应用程序
- jsonnet 文件
- YAML/json 清单的普通目录
- 任何配置为配置管理插件的自定义配置管理工具
Argo CD 在指定的目标环境中自动部署所需的应用程序状态。应用程序部署可以跟踪分支、tags 的更新,或在 Git 提交时固定到特定版本的清单。
漏洞
根据 Apiiro 安全研究副总裁 Moshe Zioni 的说法,该漏洞位于 repository.go 文件中,攻击者绕过目录遍历检查并可以访问 Argo CD 工具中的其他工件。这些工件可能包含 API 密钥、机密和令牌。
请参阅下面 Apiiro 出版物中介绍的攻击序列:
您可以在此处或此处阅读有关实际易受攻击代码的更多详细信息。
该怎么办?
如果您易受攻击,请扫描
- 确保您没有使用 Kubescape 的新控件C-0081运行易受攻击的版本。此控件是 ARMOBest 框架的一部分。
您可以通过以下方式运行它:
- 使用整个框架进行扫描:
- 仅使用特定控件进行扫描:
- 您可以使用Kubescape SaaS扫描您的集群和 ArgoCD 命名空间,以查看您是否有此问题。
- 确保保护您的 secrets 并将其存储在 Kubernetes secrets 或任何 KMS 解决方案中。
您可以使用 Kubescape control 12(ARMOBest 框架的一部分)对其进行检查。请注意,这是一个可自定义的控件,可以在 settings->posture->controls-> C-0012(配置文件中的应用程序凭据)下进行设置。 - 定期运行 Kubescape 图像漏洞扫描程序并查看结果,这将为您提供集群中所有危险漏洞的更全面的了解。
修复
根据 Argo CD官方文档,针对该漏洞的补丁已经发布在以下 Argo CD 版本中:
- v2.3.0
- v2.2.4
- v2.1.9
翻译
CVE 2022-24348 – Argo CD 高危漏洞及其对 Kubernetes 的影响
关注
微信公众号【我的小碗汤】