Kritik Argo CD Açığı: Kimliği Doğrulanmamış Saldırganlar Kubernetes Cluster'larını Ele Geçirebilir Yazılım

Kritik Argo CD Açığı: Kimliği Doğrulanmamış Saldırganlar Kubernetes Cluster'larını Ele Geçirebilir

Popüler Kubernetes dağıtım aracı Argo CD'nin repo-server bileşeninde bulunan ve yamalanmamış bir güvenlik açığı, kimliği doğrulanmamış saldırganların ...

Kubernetes ortamlarında yazılım dağıtımı için yaygın olarak kullanılan Argo CD'nin repo-server bileşeninde kritik bir güvenlik açığı keşfedildi. Synacktiv güvenlik firması tarafından bulunan bu açık, kimliği doğrulanmamış bir saldırganın repo-server'ın dahili ağ portuna erişmesi durumunda kod çalıştırmasına izin veriyor. Açık, Ocak 2025'te Argo CD geliştiricilerine bildirilmesine rağmen henüz yamalanmadı ve herhangi bir CVE numarası atanmadı. Synacktiv, kullanıcıları uyarmak amacıyla açığın detaylarını kamuoyuyla paylaştı.

Açık, Argo CD'nin Git depolarını okuyarak Kubernetes manifest dosyalarını oluşturan repo-server bileşeninde bulunuyor. Bu bileşenin dahili gRPC servisi herhangi bir kimlik doğrulama gerektirmediği için, bu servise erişebilen herkes özel hazırlanmış bir istek göndererek komut çalıştırabiliyor. Synacktiv, saldırıyı Argo CD v2.13.3 üzerinde başarıyla gerçekleştirdi ve yamalanmış bir sürüm bulunmadığını belirtti. Saldırı, Argo CD'nin manifest oluşturmak için kullandığı kustomize aracının --helm-command seçeneğini kötüye kullanıyor. Bu seçenek normalde helm ikili dosyasını işaret ederken, saldırgan kendi kontrolündeki bir Git deposundan çektiği bir betik dosyasını işaret edebiliyor. Kustomize çalıştığında helm yerine bu betiği çalıştırıyor.

Ancak açığın etkisi bununla sınırlı kalmıyor. Synacktiv, repo-server'da kod çalıştırdıktan sonra ortam değişkenlerinden Redis şifresini okuyarak Argo CD'nin Redis önbelleğine bağlandı ve dağıtım verilerini zehirledi. Bir sonraki otomatik senkronizasyonda Argo CD, saldırgan tarafından sağlanan iş yükünü dağıttı. Bu adım, 2024 yılında Cycode tarafından bulunan ve Redis'in şifresiz olması nedeniyle cluster'daki herhangi bir pod'un dağıtım önbelleğini zehirlemesine izin veren CVE-2024-31989 açığını yeniden canlandırıyor. Argo CD bu açığı bir Redis şifresi ekleyerek kapatmıştı ancak önbelleğin kendisi hala imzalanmadığı için şifrenin çalınması aynı saldırıyı tekrar mümkün kılıyor.

Henüz yamalanmış bir sürüm bulunmadığından, tek savunma yöntemi ağ izolasyonu. Kubernetes ağ politikalarının etkinleştirilmesi ve yalnızca Argo CD'nin kendi bileşenlerinin repo-server ve Redis portlarına erişebilmesi sağlanmalı. Argo CD, ağ politikası dosyalarını sağlıyor ancak Helm chart'ı bu politikaları varsayılan olarak devre dışı bırakıyor. Synacktiv, saldırıyı otomatikleştiren argo-cdown aracını geliştirdi ancak savunmacılara zaman tanımak için şimdilik yayınlamıyor. Geçmişte de benzer açıklar yaşayan Argo CD'nin, cluster ağını düşmanca kabul ederek güvenlik önlemlerini artırması kritik önem taşıyor.

Paylaş: