Argo CD merilis patch minggu ini untuk kerentanan zero-day yang memungkinkan penyerang mengakses informasi sensitif seperti kata sandi dan kunci API.
Kerentanan ditemukan oleh tim Riset Keamanan Apiiro dan dijelaskan dalam posting blog yang dirilis bersamaan dengan tambalan.
Argo CD adalah platform Pengiriman Berkelanjutan open source yang populer, dan kerentanan — ditandai sebagai CVE-2022-24348 dengan skor CVSS 7,7 — “memungkinkan aktor jahat memuat file Kubernetes Helm Chart YAML ke kerentanan dan ‘melompat’ dari ekosistem aplikasi mereka ke data aplikasi lain di luar cakupan pengguna.”
Para aktor kemudian dapat membaca dan mengekstrak data yang berada di aplikasi lain, menurut Apiiro.
Di GitHub, perusahaan tersebut mengatakan semua versi CD Argo rentan terhadap bug traversal jalur dan mencatat bahwa “mungkin untuk membuat paket bagan Helm khusus yang berisi file nilai yang sebenarnya merupakan tautan simbolik, menunjuk ke file arbitrer di luar direktori root repositori. ”
“Jika penyerang dengan izin untuk membuat atau memperbarui Aplikasi mengetahui atau dapat menebak jalur lengkap ke file yang berisi YAML yang valid, mereka dapat membuat bagan Helm berbahaya untuk menggunakan YAML itu sebagai file nilai, sehingga mendapatkan akses ke data yang seharusnya tidak mereka miliki. akses,” jelas Argo CD.
“Dampaknya terutama bisa menjadi kritis di lingkungan yang menggunakan file nilai terenkripsi (misalnya menggunakan plugin dengan git-crypt atau SOPS) yang berisi data sensitif atau rahasia, dan mendekripsi rahasia ini ke disk sebelum merender grafik Helm. Juga, karena kesalahan apa pun pesan dari templat helm diteruskan kembali ke pengguna, dan pesan kesalahan ini cukup bertele-tele, penghitungan file pada sistem file server repositori dimungkinkan.”
Selengkapnya: ZDNet
