Benutzer des Argo Continuous Deployment (CD)-Tools für Kubernetes werden dringend aufgefordert, Updates einzuspielen, nachdem eine Zero-Day-Schwachstelle gefunden wurde, die es einem Angreifer ermöglichen könnte, sensible Informationen wie Passwörter und API-Schlüssel zu extrahieren.
Die Schwachstelle mit der Bezeichnung (CVSS-Score: 7.7) betrifft alle Versionen und wurde in den Versionen 2.3.0, 2.2.4 und 2.1.9 behoben. Das Cloud-Sicherheitsunternehmen Apiiro entdeckte und meldete den Fehler am 30. Januar 2022.
Continuous Deployment, auch Continuous Delivery genannt, bezeichnet einen Prozess, bei dem alle Codeänderungen automatisch in die Test- und/oder Produktionsumgebung übertragen werden, nachdem sie getestet und in einem gemeinsamen Repository zusammengeführt wurden.
Argo CD wird offiziell von 191 Unternehmen eingesetzt, darunter Alibaba Group, BMW Group, Deloitte, Gojek, IBM, Intuit, LexisNexis, Red Hat, Skyscanner, Swisscom und Ticketmaster.
Die Path-Traversal-Schwachstelle „ermöglicht es böswilligen Akteuren, eine Kubernetes Helm Chart YAML-Datei auf die Schwachstelle zu laden und von ihrem Anwendungsökosystem zu den Daten anderer Anwendungen außerhalb des Bereichs des Benutzers zu ‚hüpfen'“, sagte Moshe Zioni, VP of Security Research bei Apiiro.
Böswillige Akteure können die Schwachstelle ausnutzen, indem sie eine böswillige Kubernetes Helm Chart YAML-Datei auf das Zielsystem laden. Dabei handelt es sich um einen Paketmanager, der eine Sammlung von Kubernetes-Ressourcen spezifiziert, die für die Bereitstellung einer Anwendung erforderlich sind, und so den Abruf vertraulicher Informationen aus anderen Anwendungen ermöglicht.
Eine erfolgreiche Ausnutzung des Fehlers könnte schwerwiegende Folgen haben, die von der Ausweitung von Privilegien und der Offenlegung sensibler Informationen bis hin zu Lateral Movement-Angriffen und dem Exfiltrieren von Token aus anderen Anwendungen reichen.
Die Software-Lieferkette hat sich im Zuge der Angriffe auf SolarWinds, Kaseya und Log4j in den letzten Jahren zu einer großen Sicherheitsbedrohung entwickelt. Im Juli 2021 deckte Intezer auf, dass Angreifer falsch konfigurierte Argo-Workflow-Instanzen ausnutzen, um Kryptowährungen in Kubernetes (K8s)-Clustern zu schürfen.