Argo CD’de Kritik Güvenlik Açığı: Yama Yok, Küme Ele Geçirme Riski Yazılım

Argo CD’de Kritik Güvenlik Açığı: Yama Yok, Küme Ele Geçirme Riski

Argo CD repo-server bileşeninde yamasız bir güvenlik açığı bulundu. Kimliği doğrulanmamış saldırganlar Kubernetes kümesini ele geçirebiliyor.

Kubernetes ortamlarında yaygın olarak kullanılan Argo CD aracının repo-server bileşeninde kritik bir güvenlik açığı keşfedildi. Synacktiv araştırmacıları tarafından bulunan bu açık, kimliği doğrulanmamış bir saldırganın repo-server’ın iç ağ portuna erişmesi durumunda keyfi kod çalıştırmasına izin veriyor. Açığa henüz bir CVE numarası atanmamış ve resmi bir yama yayınlanmamış durumda. Synacktiv, sorunu Ocak 2025'te Argo CD geliştiricilerine bildirdiklerini ancak yaklaşık 18 ay sonra hala bir yama çıkmadığını belirterek kullanıcıları uyarmak için detayları kamuoyuyla paylaştı.

Açık, repo-server’ın iç gRPC servisinin kimlik doğrulaması olmamasından kaynaklanıyor. Bu servise erişebilen herkes, özel hazırlanmış bir istek göndererek komut çalıştırabiliyor. Synacktiv, saldırıyı Argo CD v2.13.3 üzerinde başarıyla test etti. Saldırıda kustomize aracının --helm-command seçeneği kullanılıyor. Normalde Helm ikili dosyasını çağırmak için kullanılan bu seçenek, saldırganın kontrolündeki bir Git deposundan alınan bir betikle değiştiriliyor. Kustomize çalıştığında Helm yerine bu betik çalışıyor ve saldırgan kodu repo-server üzerinde çalıştırmış oluyor.

Argo CD varsayılan olarak Kubernetes ağ politikaları sunsa da, Helm chart kullanılarak yapılan kurulumlarda bu politikalar devre dışı kalıyor. networkPolicy.create değeri false olarak ayarlandığında, kümedeki herhangi bir pod’u ele geçiren saldırgan repo-server’a ulaşabiliyor. Synacktiv, repo-server’da kod çalıştırdıktan sonra Redis parolasını ortam değişkenlerinden okuyarak Argo CD’nin Redis önbelleğine bağlanmayı ve dağıtım verilerini zehirlemeyi başardı. Bir sonraki otomatik senkronizasyonda Argo CD, saldırgan tarafından sağlanan iş yükünü dağıtarak kümenin tamamen ele geçirilmesine olanak tanıyor.

Henüz bir yama bulunmadığı için tek savunma yöntemi ağ izolasyonu. Kubernetes ağ politikalarını etkinleştirerek yalnızca Argo CD bileşenlerinin repo-server ve Redis portlarına erişmesine izin verilmeli. Helm kullanıcıları, chart’ta varsayılan olarak devre dışı olan ağ politikalarını manuel olarak etkinleştirmeli. Synacktiv, saldırıyı otomatikleştiren argo-cdown adlı bir araç geliştirdi ancak şimdilik yayınlamayarak savunmacılara zaman tanımayı hedefliyor. Bu açık, Argo CD’nin daha önceki güvenlik sorunlarıyla benzerlik gösteriyor; 2025 ve 2026'da da benzer iç yüzey açıkları raporlanmıştı.

Paylaş: