CVE 2022-24348，Argo CD 高危漏洞及其对 Kubernetes 的影响

文章目录

• ​​关于 Argo CD​​
• ​​漏洞​​
• ​​该怎么办？​​
• ​​修复​​
• ​​翻译​​
• ​​关注​​

来自 Apiiro 的研究员 Moshe Zioni 在流行的开源 CD 平台 Argo CD 中

发现了一个主要的软件供应链关键漏洞

CVE-2022-24348，利用它，攻击者可以从其他应用程序获取敏感信息，例如凭据、Secrets、API Key。这反过来又会导致特权升级、横向移动和信息泄露。

由于此漏洞的严重性很高，我们向​​Kubescape​​添加了一个特殊控件C-0081，用于识别您的部署中是否存在易受攻击的 Argo CD 版本。

使用以下命令运行​​ARMOBest 框架​​

Kubescape scan framework ARMOBest --submit

这种漏洞说明了持续定期扫描所有已部署软件镜像的重要性，而不是 CI/CD 部署前扫描。Kubescape 旨在从 Kubernetes API 枚举所有已部署的镜像并扫描它们，以提供按详细时间顺序排序的结果。

可用的 ​​Argo CD 补丁​​版本有：

• v2.3.0
• v2.2.4
• v2.1.9

关于 Argo CD

​​Argo CD​​是 Kubernetes 的声明式持续交付工具。Argo CD 遵循 GitOps 模式，使用 Git 存储库作为定义所需应用程序状态的真实来源。Kubernetes 清单可以通过多种方式指定：

• ​​kustomize​​ 应用程序
• ​​helm charts​​
• ​​ksonnet​​ 应用程序
• ​​jsonnet​​ 文件
• YAML/json 清单的普通目录
• 任何配置为配置管理插件的自定义配置管理工具

Argo CD 在指定的目标环境中自动部署所需的应用程序状态。应用程序部署可以跟踪分支、tags 的更新，或在 Git 提交时固定到特定版本的清单。

漏洞

根据 Apiiro 安全研究副总裁 Moshe Zioni 的说法，该漏洞位于 repository.go 文件中，攻击者绕过目录遍历检查并可以访问 Argo CD 工具中的其他工件。这些工件可能包含 API 密钥、机密和令牌。

请参阅下面 Apiiro 出版物中介绍的攻击序列：

​​您可以在此处​​​或​​此处​​阅读有关实际易受攻击代码的更多详细信息。

该怎么办？

如果您易受攻击，请扫描

• 确保您没有使用 Kubescape 的新控件C-0081运行易受攻击的版本。此控件是 ARMOBest 框架的一部分。
  您可以通过以下方式运行它：

1. 使用整个框架进行扫描：

Kubescape scan framework armobest –submit

2. 仅使用特定控件进行扫描：

Kubescape scan control C-0081

• 您可以使用​​Kubescape SaaS​​扫描您的集群和 ArgoCD 命名空间，以查看您是否有此问题。
• 确保保护您的 secrets 并将其存储在 Kubernetes secrets 或任何 KMS 解决方案中。
  您可以使用 Kubescape ​​​control 12​​（ARMOBest 框架的一部分）对其进行检查。请注意，这是一个可自定义的控件，可以在 settings->posture->controls-> C-0012（配置文件中的应用程序凭据）下进行设置。
• 定期运行 Kubescape 图像漏洞扫描程序并查看结果，这将为您提供集群中所有危险漏洞的更全面的了解。

修复

根据 Argo CD​​官方文档​​，针对该漏洞的补丁已经发布在以下 Argo CD 版本中：

• v2.3.0
• v2.2.4
• v2.1.9

翻译

​​CVE 2022-24348 – Argo CD 高危漏洞及其对 Kubernetes 的影响​​

关注

微信公众号【我的小碗汤】