Yamasız Argo CD Repo Sunucusu Kusuru, Saldırganların Kubernetes Kümelerini Ele Geçirmesine İzin Verebilir Siber Güvenlik

Yamasız Argo CD Repo Sunucusu Kusuru, Saldırganların Kubernetes Kümelerini Ele Geçirmesine İzin Verebilir

Yazılımı Kubernetes'e dağıtmak için yaygın olarak kullanılan bir araç olan Argo CD'nin, repo-sunucu bileşeninde, kimliği doğrulanmamış bir saldırganın...

Yazılımı Kubernetes'e dağıtmak için yaygın olarak kullanılan bir araç olan Argo CD'nin, repo-sunucu bileşeninde, kimliği doğrulanmamış bir saldırganın, bileşenin dahili ağ bağlantı noktasına ulaşabilmesi koşuluyla kod çalıştırmasına izin veren yamalanmamış bir kusur vardır.

Hatayı bulan Synacktiv, bunun kümenin tamamının ele geçirilmesine yol açabileceğini söylüyor. Düzeltme ve CVE yok. Firma, kusuru Ocak 2025'te Argo CD'nin bakımcılarına bildirdiğini söylüyor; Yaklaşık on sekiz ay sonra yama yapılmadan kaldı, bu nedenle kullanıcıları uyarmak için ayrıntıları yayınladı.

Hata, Git depolarını okuyan ve kümenin neyi dağıtacağını tanımlayan dosyalar olan Kubernetes bildirimlerini oluşturan Argo CD bileşeni olan repo-server'da bulunuyor.

Nasıl Önlem Alınmalı?

Dahili gRPC hizmetinin kimlik doğrulaması yoktur; ona ulaşabilen herkes bir komutu çalıştırmak için hazırlanmış bir istek gönderebilir. Synacktiv, Argo CD v2.13.3'e yönelik saldırıyı gösterdi ve yamalı bir sürüm olmadığını bildirdi; etkilenen sürümlerin tam listesini yayınlamadı.

Bu teknik, Argo CD'sinin depo dosyalarını bildirimlere dönüştürmek için çalıştırdığı standart bir araç olan özelleştirmeyi kötüye kullanıyor. Özelleştirme, çağırması gereken dümen ikili dosyasını işaret eden --helm-command seçeneğine sahiptir.

Önemli Gelişmeler

Synacktiv, repo sunucusunun GenerateManifest hizmetine yapılan kimliği doğrulanmamış bir isteğin, bu seçeneği saldırgan tarafından kontrol edilen Git deposundan alınan bir komut dosyasına ayarlayabileceğini buldu. Özelleştirme çalıştırıldığında, dümen yerine betiği çalıştırır.

Ancak "dahili", varsayılan olarak izole edilmiş anlamına gelmez. Argo CD, repo sunucusunu kendi bileşenleri dışındaki her şeyden ayıran Kubernetes ağ politikalarını sunar.

Teknik Analiz

Synacktiv, Argo CD'sini yüklemenin yaygın bir yolu olan Helm grafiğinin, bu politikaları varsayılan olarak kapalı bıraktığını ve networkPolicy.create'in false olarak ayarlandığını buldu. Bu kurulumda, kümedeki tek bir bölmeyi tehlikeye atan bir saldırgan, repo sunucusuna ulaşabilir ve hatayı tetikleyebilir.

Repo sunucusunda kod çalıştırmak işin sonu değil. Synacktiv bu erişimi, kümenin Redis parolasını bir ortam değişkeninden okumak, Argo CD'nin Redis önbelleğine bağlanmak ve depolanan dağıtım verilerini zehirlemek için kullandı. Bir sonraki otomatik senkronizasyonda Argo CD, saldırganın sağladığı bir iş yükünü dağıttı.

Bu adım, Argo CD'sinin Redis'inin parolasının olmadığı yerde bulunan ve kümedeki herhangi bir bölmenin dağıtım önbelleğini zehirlemesine izin veren 2024 kusurlu bir Cycode olan CVE-2024-31989'u yeniden canlandırıyor. Argo CD, bir Redis parolası ekleyerek bu sorunu düzeltti ancak önbelleğin kendisi hala imzalanmadı, bu nedenle parolanın geri çalınması aynı saldırıyı yeniden başlattı.

Gelecekte Ne Bekleniyor?

Yamalı bir sürüm yoktur, bu nedenle savunma ağ izolasyonudur. Kubernetes ağ politikalarını açın, böylece yalnızca Argo CD'sinin kendi bileşenleri repo sunucusuna ve Redis bağlantı noktalarına erişebilir. Argo CD'si politika dosyalarını sağlar; Dümen kullanıcılarının bunları etkinleştirmesi gerekiyor çünkü grafik onları devre dışı bırakıyor.

Neyin aktif olduğunu kontrol edin: kubectl get networkpolicy -A. Sağlıklı bir kurulum, repo sunucusu ve Redis dahil olmak üzere bileşen başına bir ağ politikası gösterir. Bu politikalar eksikse repo sunucusuna ve Redis bağlantı noktalarına kümenin geri kalanından erişilebilir.

Synacktiv, saldırının tamamını otomatikleştiren argo-cdown adında bir araç geliştirdi. Savunmacılara ağ politikalarını kilitlemeleri için zaman vermek amacıyla aracı şimdilik geri tutuyor ve yöneticilerin kendi dağıtımlarını test edebilmesi için aracı daha sonra GitHub'da yayınlayacağını söylüyor.

Uzmanların Görüşleri

Bu Argo CD'nin kendi içindekileri ilk kez ortaya çıkarması değil. Eylül 2025'te, yalnızca temel okuma erişimine sahip bir API belirtecinin bir projenin Git deposu kimlik bilgilerini geri çekebildiği CVE-2025-55190 yamasını yayınladı; bu, The Hacker News'in o sırada işaretlediği bir kusurdu.

Mayıs 2026'da başka bir hata olan CVE-2026-42880, salt okunur kullanıcıların düz metin Kubernetes sırlarını okumasına izin verdi. Bu modeli gözden kaçırmak zordur: Argo CD, küme erişimini ve depo sırlarını yoğunlaştırır ve dahili yüzeyleri, bir hatada kimliği doğrulanmamış bir isteğe, diğerinde ise düşük ayrıcalıklı bir tokene bunları dağıtmaya devam eder.

Sonuç ve Değerlendirme

Bir yama gelene kadar küme ağına düşman muamelesi yapmak tek gerçek savunmadır.

Paylaş: