新的Argo CD漏洞可能会让黑客从Kubernetes应用程序中窃取机密信息

在发现零日漏洞后，Kubernetes的Argo continuous deployment（CD）工具的用户被敦促进行更新，该漏洞可能允许攻击者提取密码和API密钥等敏感信息。

该缺陷标记为CVE-2022-24348（CVSS分数：7.7），影响所有版本，已在版本2.3.0、2.2.4和2.1.9中解决。云安全公司Apiro在2022年1月30日发现并报告了该漏洞。

连续部署，也称为连续交付，是指在测试和/或生产环境中的所有代码更改并将其合并到共享存储库后，自动将其部署到测试和/或生产环境中的过程。

Argo CD被191家机构正式使用，包括阿里巴巴集团、宝马集团、德勤、Gojek、IBM、Intuit、LexisNexis、Red Hat、Skyscanner、Swisscom和Ticketmaster。

Apiiro的安全研究副总裁Moshe Zioni说，路径遍历漏洞“允许恶意参与者将Kubernetes Helm Chart YAML文件加载到该漏洞，并从其应用程序生态系统“跳跃”到用户范围之外的其他应用程序数据。”。

通过将恶意的Kubernetes Helm Chart YAML文件加载到目标系统上，坏人可以利用该漏洞进行攻击。该文件是一个包管理器，指定了部署应用程序所需的Kubernetes资源集合，允许从其他应用程序检索机密信息。

成功利用该缺陷可能会带来严重后果，从权限提升和敏感信息泄露到横向移动攻击，以及从其他应用程序中过滤令牌。

近年来，在利用SolarWinds、Kaseya和Log4j的攻击之后，软件供应链已经成为一个主要的安全威胁。2021年7月，ITEZER披露攻击者正在利用错误配置的ARGO工作流实例来将密码子丢弃到Kubernetes（K8S）集群上。