Les utilisateurs de l’outil de déploiement continu (CD) Argo pour Kubernetes sont invités à effectuer des mises à jour après la découverte d’une vulnérabilité zero-day qui pourrait permettre à un attaquant d’extraire des informations sensibles telles que des mots de passe et des clés API.
La faille, étiquetée comme CVE-2022-24348 (score CVSS : 7,7), affecte toutes les versions et a été résolu dans les versions 2.3.0, 2.2.4 et 2.1.9. La société de sécurité cloud Apiiro a été créditée d’avoir découvert et signalé le bogue le 30 janvier 2022.
Le déploiement continu, également appelé livraison continue, fait référence à un processus qui déploie automatiquement toutes les modifications de code dans l’environnement de test et/ou de production après qu’elles ont été testées et fusionnées dans un référentiel partagé.
Argo CD est officiellement utilisé par 191 organisationsdont Alibaba Group, BMW Group, Deloitte, Gojek, IBM, Intuit, LexisNexis, Red Hat, Skyscanner, Swisscom et Ticketmaster.
La vulnérabilité de traversée de chemin « permet aux acteurs malveillants de charger un Kubernetes Fichier YAML du graphique Helm à la vulnérabilité et au » saut » de leur écosystème d’applications vers les données d’autres applications en dehors de la portée de l’utilisateur », Moshe Zioni, vice-président de la recherche en sécurité d’Apiiro, mentionné.
Les acteurs malveillants peuvent exploiter la vulnérabilité en chargeant un fichier Kubernetes Helm Chart YAML malveillant, un gestionnaire de packages qui spécifie une collection de ressources Kubernetes nécessaires pour déployer une application, sur le système cible, permettant la récupération d’informations confidentielles à partir d’autres applications.
L’exploitation réussie du défaut pourrait avoir de graves conséquences allant de l’escalade de privilèges et de la divulgation d’informations sensibles aux attaques de mouvement latéral et à l’exfiltration de jetons d’autres applications.
La chaîne d’approvisionnement des logiciels est devenue une menace majeure pour la sécurité à la suite des attaques exploitant SolarWinds, Kaseya et Log4j ces dernières années. En juillet 2021, Intezer divulgué que les attaquants profitent d’instances Argo Workflows mal configurées pour supprimer les cryptomineurs dans les clusters Kubernetes (K8s).
